Чрезвычайно опасный троянец Emotet снова активен

Исследователи предупреждают, что опасный троянец Emotet активизировался пятимесячного перерыва. Новую кампанию по распространению нового вредоносного ПО они охарактеризовали как «яростную».

Чрезвычайно опасный троянец Emotet снова активен. Фото: СС0

Исследователи из Cryptolaemus, группы, которая отслеживает Emotet, заметили, что злоумышленник внезапно начал рассылать фишинговые электронные письма по всему миру ранним утром 2 ноября.

Из сообщения исследователей:

«Похоже, снова нужны деньги, поэтому он вернулся к работе. Ищите файлы XLS, прикрепленные напрямую, а также заархивированные и защищенные паролем XLS».

Как обычно, кампания построена вокруг вооруженных документов Office, в данном конкретном случае — файлов Excel, содержащих вредоносные макросы.

Злоумышленник захватывает существующие цепочки электронной почты, используя функцию ответа для распространения документа. Однако есть несколько заметных изменений в том, как работает этот трюк, поскольку Microsoft недавно отключила макросы по умолчанию и требует, чтобы администраторы специально разрешали запуск этой функции.

Кроме того, Windows теперь добавляет флаг Mark-of-the-Web (MoTW) ко всем файлам, загруженным из Интернета. При открытии файлы, помеченные MoTW, будут отображать сообщение о том, что они были загружены из небезопасного места и что их можно открыть только в режиме защищенного просмотра, чтобы защитить пользователей от случайного запуска вредоносного макроса.

Это побудило злоумышленников добавить в файл специальное сообщение, имитирующее предупреждение системы безопасности Excel (желтая горизонтальная полоса над содержимым) и указывающее, что для запуска файла его необходимо поместить в папку «Шаблоны» Office.

Все файлы, запускаемые из папки Templates, автоматически запускают макросы. Действительно, не так просто добавить файлы в эту конкретную папку, поскольку Windows запрашивает разрешение администратора, но есть вероятность, что многие жертвы проигнорируют эти очевидные красные флажки.

Пока что Emotet бездействует на скомпрометированном конечных точках .(откроется в новой вкладке), поэтому исследователи не могут определить, для какой кампании он используется. В прошлом Emotet использовался для сброса маяков Cobalt Strike, вредоносных программ TrickBot и других.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме