10.06.2022 | Бонет Emotet заражает пользователей Google Chrome инфостилером |
Ботнет Emotet теперь заражает потенциальных жертв вредоносным модулем для похищения данных кредитных карт из профилей пользователей Google Chrome. Похитив данные (имя и фамилия держателя карты, дата истечения срока действия, номер), вредонос отправляет их на сторонние C&C-серверы, не относящиеся к инфостилеру. «6 июня эксперты Proofpoint обнаружили новый модуль Emotet, доставляемый ботнетом E4. К нашему удивлению, это оказался инфостилер для похищения данных банковских карт, атакующий исключительно пользователей браузера Chrome. Собранные данные отправляются на другой C&C-сервер, не тот, с которого распространяется загрузчик модуля», – сообщили специалисты Proofpoint Threat Insights порталу BleepingComputer. Это стало происходить после увеличения активности Emotet в апреле нынешнего года и перехода на 64-битные модули. Спустя неделю для выполнения команд PowerShell с целью заражения атакуемых устройств вредонос начал использовать файлы LNK, отказавшись от макросов Microsoft Office, отключенных по умолчанию с начала апреля 2022 года. Вредоносное ПО Emotet было создано в 2014 году и тогда использовалось для распространения банковских троянов. Затем оно эволюционировало в ботнет, используемый группировкой TA542 (Mummy Spider), для доставки полезной нагрузки второго этапа. Кроме того, Emotet позволяет похищать пользовательские данные, проводить разведку в скомпрометированной сети и осуществлять боковое перемещение к уязвимым устройствам. Emotet также известен доставкой на скомпрометированные системы вредоносного ПО Qbot и Trickbot, использующихся для развертывания дополнительного ПО, включая биконы Cobalt Strike и вымогательское ПО Ryuk и Conti . В начале 2021 года инфраструктура Emotet была отключена в ходе правоохранительной операции. Немецкие правоохранительные органы использовали эту инфраструктуру против самого же ботнета – распространяли через нее на зараженные системы модуль, удаляющий вредонос. Ботнет вернулся в ноябре 2021 года, используя уже существующую инфраструктуру TrickBot. |
Проверить безопасность сайта