Спам-троян Emotet вернулся к жизни после 5 месяцев отсутствия

Дата: 20.07.2020. Автор: Артем П. Категории: Новости по информационной безопасности

В течение нескольких последних месяцев спам-троян Emotet бездействовал – специалисты по информационной безопасности не фиксировали подобных активностей. Теперь он снова в действии и извергает огромное количество вредоносных писем, нацеленных на пользователей из разных уголков мира.

Emotet – разновидность вредоносного ПО, распространяемого через спам. Оно содержит зараженные документы MS Word и Excel. В прикрепленных к письмам документах применяются макросы для загрузки и инсталляции вредоносного ПО на устройство жертвы. Установленный Emotet начинает активно догружать другой вредоносный софт, используя атакованное и уже зараженное устройство для отправки новых пачек писем уже другим получателям.

ИБ-специалист Джемс Куинн отметил, что в последний раз активность Emotet наблюдалась 7 февраля 2020 г., после чего вредоносное ПО ушло в бессрочный «отпуск». При этом команда Cryptolaemus, занимающаяся отслеживанием Emotet, постоянно докладывала, что вредоносные модули спам-трояна систематически обновляются несмотря на то, что ботнет не рассылал никакого спама (за исключением нескольких тестов).

17 июля 2020 г. Emotet снова вернулся к жизни, рассылая огромному количеству пользователей спам с различной информацией о доставке, счетах, работе и т. д. Рассылаемые вредоносные письма содержали преимущественно прикрепленные MS Word файлы. Небольшая активность Emotet была зафиксирована специалистами еще 13 июля, когда рассылалось ограниченное количество вредоносных писем, но с использованием старых URL-адресов.

Джозеф Розен, представитель Cryptolaemus, отметил, что на данный момент Emotet рассылает огромное количество спама, а прикрепленные вредоносные файлы пользуются уже обновленными URL-адресами. В качестве примерна мистер Розен приводит одно из писем, который представлен в виде шаблона цепочки ответов, а прикрепленный файл имитирует документ информации об отгрузки товара от Loomis-express.com:

Также отмечается, что многие вредоносные письма связаны с тематикой устройства на работу/вакансий, что очень актуально в условиях постепенно выхода людей из карантина.

В прикрепленных документах применяется новый шаблон, который сообщает пользователю при открытии, что стандартным образом файл открыт быть не может, потому что создавался с iOS. Поэтому требуется «разрешить редактирование», нажав на соответствующую кнопку. Включенное пользователем редактирование позволяет запуститься макросу, который и начинает вредоносную деятельность на устройстве жертвы.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

семнадцать + 4 =