Чрезвычайно опасный троянец Emotet снова активен
Чрезвычайно опасный троянец Emotet снова активен. Фото: СС0
Исследователи из Cryptolaemus, группы, которая отслеживает Emotet, заметили, что злоумышленник внезапно начал рассылать фишинговые электронные письма по всему миру ранним утром 2 ноября.
Из сообщения исследователей:
«Похоже, снова нужны деньги, поэтому он вернулся к работе. Ищите файлы XLS, прикрепленные напрямую, а также заархивированные и защищенные паролем XLS».
Как обычно, кампания построена вокруг вооруженных документов Office, в данном конкретном случае — файлов Excel, содержащих вредоносные макросы.
Злоумышленник захватывает существующие цепочки электронной почты, используя функцию ответа для распространения документа. Однако есть несколько заметных изменений в том, как работает этот трюк, поскольку Microsoft недавно отключила макросы по умолчанию и требует, чтобы администраторы специально разрешали запуск этой функции.
Кроме того, Windows теперь добавляет флаг Mark-of-the-Web (MoTW) ко всем файлам, загруженным из Интернета. При открытии файлы, помеченные MoTW, будут отображать сообщение о том, что они были загружены из небезопасного места и что их можно открыть только в режиме защищенного просмотра, чтобы защитить пользователей от случайного запуска вредоносного макроса.
Это побудило злоумышленников добавить в файл специальное сообщение, имитирующее предупреждение системы безопасности Excel (желтая горизонтальная полоса над содержимым) и указывающее, что для запуска файла его необходимо поместить в папку «Шаблоны» Office.
Все файлы, запускаемые из папки Templates, автоматически запускают макросы. Действительно, не так просто добавить файлы в эту конкретную папку, поскольку Windows запрашивает разрешение администратора, но есть вероятность, что многие жертвы проигнорируют эти очевидные красные флажки.
Пока что Emotet бездействует на скомпрометированном конечных точках .(откроется в новой вкладке), поэтому исследователи не могут определить, для какой кампании он используется. В прошлом Emotet использовался для сброса маяков Cobalt Strike, вредоносных программ TrickBot и других.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было