Банковский троян Emotet вернулся и распространяется через спам

Зафиксированы случаи массового распространения банковского трояна Emotet по электронной почте.

Исследователи из TrendMicro сообщили
о новой вредоносной кампании, в рамках которой злоумышленики распостраняют банковский троянEmotet. Впервые вредоносное ПО Emotet было обнаружено в 2014 году. Затем оноисчезлоиз поля зрения, но в августе 2017 года была зафиксирована повышенная активность новых разновидностей вредоноса (TSPY_EMOTET.AUSJLA, TSPY_EMOTET.SMD3, TSPY_EMOTET.AUSJKW, TSPY_EMOTET.AUSJKV), способных загружать различные типы вредоносных модулей на целевую систему.

В качестве возможных причин возвращения Emotet исследователи называют заинтересованность злоумышленников в новых регионахи отраслях. Хотя предыдущие варианты Emotet были нацелены преимущественно на банковский сектор, в этот раз авторы вредоносногоПО расширили поле деятельности. Злоумышленники атаковали компании из различныхотраслей, включая обрабатывающую, пищевую промышленность и область здравоохранения.

Основными целевыми регионами являются США, Великобритания и Канада. При этом вСША было зафиксировано58% всех обнаруженных случаев заражения, на долю Великобританиии Канадыпришлось 12% и 8% соответственно.

Троян распостраняется несколькими способами, в основом через спам-рассылку,замаскированнуюпод счета или уведомления о подтвержденииоплаты. В теле письмасодержится вредоносная ссылка, при переходе по которой загружается документ с вредоносным макросом. После активации макрос исполняет команду Powershell, загружающую троянEmotet.

Оказавшись на системе,Emotet загружает свои копии в системные папки и регистрируется как системнаяслужба.Онтакжедобавляетзаписи в реестр Windowsдля обеспечения автоматического исполненияпри каждойзагрузкесистемы. Затем вредоносное ПО приступает к сбору информации о системеи данных банковских учетных записей, обновляется до последней версии изагружаетдополнительноевредоносное ПО.