После долгого отсутствия ботнет, построенный на основе троянской программы Emotet, вернулся на интернет-арену и начал генерировать спам, нацеленный на дальнейшее распространение зловреда. Вредоносные рассылки замечены в Германии, Польше, Великобритании, Италии и США.
Согласно наблюдениям, C&C-серверы Emotet три месяца никак не проявляли себя — по данным некоммерческой организации Spamhaus, их активность упала до нуля в начале июня. По всей видимости, операторы бот-сети решили вычистить подставные боты ИБ-исследователей, проверить надежность инфраструктуры и пополнить запас взломанных сайтов для раздачи трояна, прежде чем идти в новое наступление. Командные серверы Emotet ожили лишь в конце августа; первые сообщения о новой спам-кампании появились в Twitter в понедельник, 16 сентября.
Комментируя новый всплеск активности ботнета для Bleeping Computer, эксперты Cofense Labs отметили, что они уже насчитали порядка 66 тыс. уникальных писем с привязкой к 30 тыс. вредоносных доменов в 385 TLD-зонах, а также 3362 различных отправителя. Злоумышленники используют в основном финансовые темы, маскируют свои сообщения под продолжение переписки и просят ознакомиться с информацией во вложении.
Как показал анализ, прикрепленный документ Microsoft Word содержит вредоносный макрос. Для его запуска получателю предлагают активировать соответствующую опцию, поясняя, что это якобы необходимо для подтверждения лицензионного соглашения с Microsoft — в противном случае 20 сентября текстовый редактор перестанет функционировать. Для пущей убедительности в ложное сообщение вставлен логотип Microsoft.
The word doc template they are using. pic.twitter.com/oRzq6u8gYI
— Cofense Labs (@CofenseLabs) September 16, 2019
Если пользователь последует инструкциям злоумышленников, на его машину загрузится Emotet. На настоящий момент вредоносное вложение распознают около половины антивирусов из коллекции VirusTotal.
Однако расширение владений Emotet — не единственная цель новой спам-кампании. Обосновавшись на компьютере жертвы, зловред приводит еще одного трояна — Trickbot.
019-09-16 — I think most everyone knows that the #Emotet #malspam started up again today — Here's some infection traffic where #Trickbot (gtag: mor1) is the follow-up malware: https://t.co/6OUn1nHBv5 pic.twitter.com/Dfm7192S6d
— Brad (@malware_traffic) September 16, 2019
Специалисты по информационной безопасности отслеживают деятельность Emotet с 2014 года. За истекший период этот модульный зловред, изначально нацеленный на кражу денег с онлайн-счетов, обрел много новых функций — в частности, научился воровать учетные данные из приложений, самостоятельно распространяться по локальной сети и загружать другое вредоносное ПО. Ботнет, созданный на его основе, сдается в аренду другим злоумышленникам и зачастую используется для распространения банковских троянов.
Согласно наблюдениям, C&C-серверы Emotet три месяца никак не проявляли себя — по данным некоммерческой организации Spamhaus, их активность упала до нуля в начале июня. По всей видимости, операторы бот-сети решили вычистить подставные боты ИБ-исследователей, проверить надежность инфраструктуры и пополнить запас взломанных сайтов для раздачи трояна, прежде чем идти в новое наступление. Командные серверы Emotet ожили лишь в конце августа; первые сообщения о новой спам-кампании появились в Twitter в понедельник, 16 сентября.
Комментируя новый всплеск активности ботнета для Bleeping Computer, эксперты Cofense Labs отметили, что они уже насчитали порядка 66 тыс. уникальных писем с привязкой к 30 тыс. вредоносных доменов в 385 TLD-зонах, а также 3362 различных отправителя. Злоумышленники используют в основном финансовые темы, маскируют свои сообщения под продолжение переписки и просят ознакомиться с информацией во вложении.
Как показал анализ, прикрепленный документ Microsoft Word содержит вредоносный макрос. Для его запуска получателю предлагают активировать соответствующую опцию, поясняя, что это якобы необходимо для подтверждения лицензионного соглашения с Microsoft — в противном случае 20 сентября текстовый редактор перестанет функционировать. Для пущей убедительности в ложное сообщение вставлен логотип Microsoft.
The word doc template they are using. pic.twitter.com/oRzq6u8gYI
— Cofense Labs (@CofenseLabs) September 16, 2019
Если пользователь последует инструкциям злоумышленников, на его машину загрузится Emotet. На настоящий момент вредоносное вложение распознают около половины антивирусов из коллекции VirusTotal.
Однако расширение владений Emotet — не единственная цель новой спам-кампании. Обосновавшись на компьютере жертвы, зловред приводит еще одного трояна — Trickbot.
019-09-16 — I think most everyone knows that the #Emotet #malspam started up again today — Here's some infection traffic where #Trickbot (gtag: mor1) is the follow-up malware: https://t.co/6OUn1nHBv5 pic.twitter.com/Dfm7192S6d
— Brad (@malware_traffic) September 16, 2019
Специалисты по информационной безопасности отслеживают деятельность Emotet с 2014 года. За истекший период этот модульный зловред, изначально нацеленный на кражу денег с онлайн-счетов, обрел много новых функций — в частности, научился воровать учетные данные из приложений, самостоятельно распространяться по локальной сети и загружать другое вредоносное ПО. Ботнет, созданный на его основе, сдается в аренду другим злоумышленникам и зачастую используется для распространения банковских троянов.