Ботоводы Emotet починили косой инсталлятор и возобновили спам-рассылки

Татьяна Никитина 26 Апреля 2022 - 15:10

...

Ботоводы Emotet починили косой инсталлятор и возобновили спам-рассылки

В минувший уикенд ИБ-эксперты зафиксировали новую спам-кампанию, нацеленную на засев трояна Emotet. Однако оказалось, что при открытии прикрепленного к письму файла заражения не происходит. За выходные злоумышленники отыскали и пофиксили баг и вновь начали бомбардировать юзеров вредоносными вложениями.

Последнее время операторы Emotet ведут себя очень агрессивно, пытаясь возродить некогда грозный ботнет с помощью вредоносных писем. С этой целью зловред вбрасывает в переписку своих жертв поддельные письма с аттачем или ссылкой, чтобы обеспечить себе дальнейшее распространение.

Новый всплеск Emotet-спама был зарегистрирован в пятницу, 22 апреля. Злоумышленники использовали вложения в формате ZIP; запароленный архив содержал LNK-файл, замаскированный под документ Word.

При открытии этого файла аналитики заметили попытку выполнения команды на поиск строки с VBS-кодом (помещена в конец .lnk). Ее содержимое должно копироваться и добавляться при создании нового файла VBS со случайным именем в папке %temp%.

Как выяснилось, выполнение этой команды невозможно, так как при этом используется статическая ссылка на файл Password2.doc.lnk, тогда как в рамках запущенной кампании вредоносный ярлык Windows скрывался под другими именами — например, назывался INVOICE 2022-04-22_1033, USA.doc.

В итоге все попытки заражения оказались провальными: в атакованных системах не создавался VBS-файл, поскольку нужный скрипт не был найден. Обнаружив багу, операторы Emotet приостановили спам-рассылки и занялись починкой. Вчера, 25 апреля, вредоносные письма появились вновь, и на сей раз, к сожалению, все проходит гладко — зловред исправно загружается и устанавливается на машину, если владелец забыл о бдительности и открыл заархивированный LNK-файл.

Наблюдатели из Cofense зафиксировали следующие вложения, используемые в рамках текущей Emotet-кампании:

form.zip
Form.zip
Electronic form.zip
PO 04252022.zip
Form - Apr 25, 2022.zip
Payment Status.zip
BANK TRANSFER COPY.zip
Transaction.zip
ACH form.zip
ACH payment info.zip

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 22 Июля 2025 - 12:55

Соответствие законодательству РФ Корпорации Соответствие требованиям регуляторов Газинформсервис

Аудит подтвердил: СМК «Газинформсервиса» соответствует ISO 9001 и ГОСТ

Компания «Газинформсервис» прошла независимую проверку своей системы менеджмента качества (СМК) и подтвердила её соответствие стандартам ISO 9001:2015 и ГОСТ Р ИСО 9001-2015. Аудит проводила компания «Русский Регистр».

Как пояснил Николай Нашивочников, технический директор «Газинформсервиса», соблюдение таких стандартов — важный элемент для участия в крупных проектах, особенно если речь идёт о госсекторе или работе с крупными заказчиками.

Также это необходимо при выходе на зарубежные рынки, где международные требования обязательны.

Аудит охватывал все основные направления деятельности компании: от разработки и проектирования до ввода систем в эксплуатацию и последующего технического обслуживания.

Также оценивалась работа в области защиты информации, связи, энергоснабжения, оказания ИБ-услуг, деятельности удостоверяющего центра, образовательных программ и других сервисов.

Отдельно отмечается, что прохождение независимого аудита важно и для оценки надёжности удостоверяющих центров.

По словам Сергея Кирюшкина, начальника удостоверяющего центра «Газинформсервиса», это соответствует мировой практике и требованиям законодательства, включая положения типового закона ЮНСИТРАЛ «Об электронных подписях».

Ботоводы Emotet починили косой инсталлятор и возобновили спам-рассылки

Читайте также