Ботоводы Emotet починили косой инсталлятор и возобновили спам-рассылки
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Ботоводы Emotet починили косой инсталлятор и возобновили спам-рассылки

Татьяна Никитина 26 Апреля 2022 - 15:10
...
Ботоводы Emotet починили косой инсталлятор и возобновили спам-рассылки

В минувший уикенд ИБ-эксперты зафиксировали новую спам-кампанию, нацеленную на засев трояна Emotet. Однако оказалось, что при открытии прикрепленного к письму файла заражения не происходит. За выходные злоумышленники отыскали и пофиксили баг и вновь начали бомбардировать юзеров вредоносными вложениями.

Последнее время операторы Emotet ведут себя очень агрессивно, пытаясь возродить некогда грозный ботнет с помощью вредоносных писем. С этой целью зловред вбрасывает в переписку своих жертв поддельные письма с аттачем или ссылкой, чтобы обеспечить себе дальнейшее распространение.

Новый всплеск Emotet-спама был зарегистрирован в пятницу, 22 апреля. Злоумышленники использовали вложения в формате ZIP; запароленный архив содержал LNK-файл, замаскированный под документ Word.

 

При открытии этого файла аналитики заметили попытку выполнения команды на поиск строки с VBS-кодом (помещена в конец .lnk). Ее содержимое должно копироваться и добавляться при создании нового файла VBS со случайным именем в папке %temp%.

 

Как выяснилось, выполнение этой команды невозможно, так как при этом используется статическая ссылка на файл Password2.doc.lnk, тогда как в рамках запущенной кампании вредоносный ярлык Windows скрывался под другими именами — например, назывался INVOICE 2022-04-22_1033, USA.doc.

В итоге все попытки заражения оказались провальными: в атакованных системах не создавался VBS-файл, поскольку нужный скрипт не был найден. Обнаружив багу, операторы Emotet приостановили спам-рассылки и занялись починкой. Вчера, 25 апреля, вредоносные письма появились вновь, и на сей раз, к сожалению, все проходит гладко — зловред исправно загружается и устанавливается на машину, если владелец забыл о бдительности и открыл заархивированный LNK-файл.

 

Наблюдатели из Cofense зафиксировали следующие вложения, используемые в рамках текущей Emotet-кампании:

  • form.zip
  • Form.zip
  • Electronic form.zip
  • PO 04252022.zip
  • Form - Apr 25, 2022.zip
  • Payment Status.zip
  • BANK TRANSFER COPY.zip
  • Transaction.zip
  • ACH form.zip
  • ACH payment info.zip
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Оператора связи оштрафовали на ₽600 тысяч за пропуск мошеннических звонков
Татьяна Никитина 26 Ноября 2025 - 18:19
МошенничествоСоответствие законодательству РФ Общее
Оператора связи оштрафовали на ₽600 тысяч за пропуск мошеннических звонков

В Санкт-Петербурге по требованию прокуратуры крупному оператору сотовой связи назначили штраф в размере 600 тыс. руб. за халатное отношение к обязанности блокировать звонки мошенников с подменных номеров.

Факт правонарушения было выявлен в ходе прокурорской проверки исполнения законодательства о связи. Имя виновника не разглашается.

Как оказалось, из-за пропущенных оператором звонков с подменой телефонного номера пострадал местный житель: мошенники путем обмана украли у него более 500 тыс. рублей.

Дело об административном правонарушении рассматривалось в рамках ч. 2 ст. 13.2.1 КоАП (неисполнение оператором связи обязанности по прекращению оказания услуг связи и/или услуг по пропуску трафика в случаях, предусмотренных законодательством РФ).

В Питере также возбуждено уголовное дело о телефонном мошенничестве. Прокуратура взяла его на контроль.

Блокировать вызовы и СМС с подменных номеров операторы обязаны согласно поправкам к закону «О связи», принятым в июле 2022 года. База номеров телефона, используемых мошенниками, доступна всем операторам, подключенным к Антифроду Роскомнадзора.

Случаи пренебрежения такими обязанностями редки — или просто не попадают в поле зрения регуляторов. Так, три года назад российскую дочку Orange наказали по максимуму по той же статье КоаП, взыскав 1 млн рублей за пропуск вызова с подменного номера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Половина мошеннических звонков в России адресована прекрасному полу
Новость
Половина мошеннических звонков в России адресована прекрасно...
ФСБ обновила шесть приказов по защите КИИ
Новость
ФСБ обновила шесть приказов по защите КИИ
Windows 11 ломает воспроизведение DRM-видео после сентябрьских апдейтов
Новость
Windows 11 ломает воспроизведение DRM-видео после сентябрьск...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.