Ботоводы Emotet починили косой инсталлятор и возобновили спам-рассылки

Татьяна Никитина 26 Апреля 2022 - 15:10

...

Ботоводы Emotet починили косой инсталлятор и возобновили спам-рассылки

В минувший уикенд ИБ-эксперты зафиксировали новую спам-кампанию, нацеленную на засев трояна Emotet. Однако оказалось, что при открытии прикрепленного к письму файла заражения не происходит. За выходные злоумышленники отыскали и пофиксили баг и вновь начали бомбардировать юзеров вредоносными вложениями.

Последнее время операторы Emotet ведут себя очень агрессивно, пытаясь возродить некогда грозный ботнет с помощью вредоносных писем. С этой целью зловред вбрасывает в переписку своих жертв поддельные письма с аттачем или ссылкой, чтобы обеспечить себе дальнейшее распространение.

Новый всплеск Emotet-спама был зарегистрирован в пятницу, 22 апреля. Злоумышленники использовали вложения в формате ZIP; запароленный архив содержал LNK-файл, замаскированный под документ Word.

При открытии этого файла аналитики заметили попытку выполнения команды на поиск строки с VBS-кодом (помещена в конец .lnk). Ее содержимое должно копироваться и добавляться при создании нового файла VBS со случайным именем в папке %temp%.

Как выяснилось, выполнение этой команды невозможно, так как при этом используется статическая ссылка на файл Password2.doc.lnk, тогда как в рамках запущенной кампании вредоносный ярлык Windows скрывался под другими именами — например, назывался INVOICE 2022-04-22_1033, USA.doc.

В итоге все попытки заражения оказались провальными: в атакованных системах не создавался VBS-файл, поскольку нужный скрипт не был найден. Обнаружив багу, операторы Emotet приостановили спам-рассылки и занялись починкой. Вчера, 25 апреля, вредоносные письма появились вновь, и на сей раз, к сожалению, все проходит гладко — зловред исправно загружается и устанавливается на машину, если владелец забыл о бдительности и открыл заархивированный LNK-файл.

Наблюдатели из Cofense зафиксировали следующие вложения, используемые в рамках текущей Emotet-кампании:

form.zip
Form.zip
Electronic form.zip
PO 04252022.zip
Form - Apr 25, 2022.zip
Payment Status.zip
BANK TRANSFER COPY.zip
Transaction.zip
ACH form.zip
ACH payment info.zip

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 04 Июля 2025 - 12:28

Соответствие законодательству РФ Корпорации Системы аутентификации Средства электронной подписи (ЭП)Соответствие требованиям регуляторов Код Безопасности

Jinn Server 1.3.7 прошёл инспекционный контроль ФСБ и поступил в продажу

Программно-аппаратный комплекс электронной подписи Jinn Server версии 1.3 (сборка 1.3.7.218) прошёл инспекционный контроль ФСБ России и получил два сертификата соответствия. Первый — по классу КС1 для исполнения 1 (№ СФ/111-5166), второй — по классу КС2 для исполнения 2 (№ СФ/111-5167). Оба действуют до 17 мая 2028 года.

Продукт «Кода Безопасности» подтвердил соответствие требованиям к средствам криптографической защиты информации и электронной подписи — для работы с информацией, не содержащей сведений, составляющих гостайну.

В новой версии Jinn Server появились доработки, связанные с усилением электронной подписи: в CMS-формате теперь к полю подписанта добавляется дата и время создания подписи.

Это касается как пользовательских подписей, так и штампов времени, применяемых в форматах CAdES и XAdES.

Также появились новые правила обработки полей сертификатов — в зависимости от даты их выпуска, и добавлена поддержка расширения IdentificationKind в квалифицированных сертификатах.

Эти изменения позволяют соответствовать требованиям приказов ФСБ № 795 и № 476, что необходимо для использования решения в системах юридически значимого ЭДО.

Кроме того, Jinn Server теперь поддерживает российскую операционную систему РЕД ОС 7.3.1 МУРОМ.