Ботоводы Emotet починили косой инсталлятор и возобновили спам-рассылки

Ботоводы Emotet починили косой инсталлятор и возобновили спам-рассылки

Ботоводы Emotet починили косой инсталлятор и возобновили спам-рассылки

В минувший уикенд ИБ-эксперты зафиксировали новую спам-кампанию, нацеленную на засев трояна Emotet. Однако оказалось, что при открытии прикрепленного к письму файла заражения не происходит. За выходные злоумышленники отыскали и пофиксили баг и вновь начали бомбардировать юзеров вредоносными вложениями.

Последнее время операторы Emotet ведут себя очень агрессивно, пытаясь возродить некогда грозный ботнет с помощью вредоносных писем. С этой целью зловред вбрасывает в переписку своих жертв поддельные письма с аттачем или ссылкой, чтобы обеспечить себе дальнейшее распространение.

Новый всплеск Emotet-спама был зарегистрирован в пятницу, 22 апреля. Злоумышленники использовали вложения в формате ZIP; запароленный архив содержал LNK-файл, замаскированный под документ Word.

 

При открытии этого файла аналитики заметили попытку выполнения команды на поиск строки с VBS-кодом (помещена в конец .lnk). Ее содержимое должно копироваться и добавляться при создании нового файла VBS со случайным именем в папке %temp%.

 

Как выяснилось, выполнение этой команды невозможно, так как при этом используется статическая ссылка на файл Password2.doc.lnk, тогда как в рамках запущенной кампании вредоносный ярлык Windows скрывался под другими именами — например, назывался INVOICE 2022-04-22_1033, USA.doc.

В итоге все попытки заражения оказались провальными: в атакованных системах не создавался VBS-файл, поскольку нужный скрипт не был найден. Обнаружив багу, операторы Emotet приостановили спам-рассылки и занялись починкой. Вчера, 25 апреля, вредоносные письма появились вновь, и на сей раз, к сожалению, все проходит гладко — зловред исправно загружается и устанавливается на машину, если владелец забыл о бдительности и открыл заархивированный LNK-файл.

 

Наблюдатели из Cofense зафиксировали следующие вложения, используемые в рамках текущей Emotet-кампании:

  • form.zip
  • Form.zip
  • Electronic form.zip
  • PO 04252022.zip
  • Form - Apr 25, 2022.zip
  • Payment Status.zip
  • BANK TRANSFER COPY.zip
  • Transaction.zip
  • ACH form.zip
  • ACH payment info.zip
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Ростелеком выкупил 5% Базальт СПО и готов увеличить долю до 25%

В ноябре «Ростелеком» получил первый пакет акций одного из ключевых российских разработчиков системного ПО на базе Linux — «Базальт СПО». Через свой фонд «Консоль», созданный совместно с Минцифры, оператор приобрёл 5% компании. Фонд уже сообщил, что до конца года намерен увеличить долю до 25%.

Часть пакета «Консоль» получит за счёт денежных вложений в уставной капитал. Фактически «Базальт СПО» войдёт в состав коммерческого ИТ-кластера «Ростелекома».

Фонд «Консоль» работает с компаниями, которые создают платформенное и системное ПО. В его наблюдательный совет входят представители Минцифры, а сам фонд является частью группы «Ростелекома».

Сделка вписывается в стратегию оператора по формированию национального технологического стека и усилению позиций на рынке отечественного ПО. Инвестиции в «Базальт СПО» дают «Ростелекому» доступ к компетенциям крупного open-source разработчика и позволяют активнее участвовать в процессах импортозамещения.

«Базальт СПО» — один из ведущих российских производителей операционных систем, работающий более 25 лет. Компания входит в тройку крупнейших разработчиков по объёму продаж и поддерживает совместимость ОС «Альт» с более чем 6 000 программами и оборудованием из государственных реестров. Их решения используют госорганы, промышленность, ТЭК, финсектор, транспорт и медицинские учреждения.

Гендиректор «Базальт СПО» Сергей Трандин назвал сделку началом нового этапа развития:

«Мы долгое время сотрудничали с “Ростелекомом”, и теперь переходим к стратегическому партнёрству. Это расширит наши возможности и позволит сильнее влиять на развитие отечественного ПО».

Российский рынок ПО сегодня остаётся крайне раздробленным — более 1500 компаний создают массовое ПО, а доля десяти крупнейших игроков не превышает 30%. На таком фоне консолидация выглядит закономерной: объединение технологий, ресурсов и клиентских баз помогает формировать крупные платформенные решения и ускоряет развитие рынка.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru