С ботнета Emotet раздаются майнер и RAT-троян во вложенных SFX-архивах

С ботнета Emotet раздаются майнер и RAT-троян во вложенных SFX-архивах

Эксперты Trustwave SpiderLabs зафиксировали новую волну вредоносного спама, исходящего с ботнета Emotet. В качестве вложений злоумышленники используют составные самораспаковывающиеся архивы; целевая полезная нагрузка запаролена, но разблокировка и запуск участия пользователя не требуют, эти задачи выполняются автоматически с помощью bat-скрипта.

Поддельные письма предлагают получателю ознакомиться с новым счетом-фактурой, открыв прикрепленный файл ZIP или ISO. Как оказалось, вложение содержит архивный файл RAR SFX, в который заключен еще один самораспаковывающийся RAR, но уже под паролем.

 

Первый вложенный SFX для прикрытия использует иконку PDF или Excel и содержит три файла: контейнер полезной нагрузки (второй RAR SFX), запускающий его пакетный скрипт и маскировочный PDF-документ либо изображение. Все компоненты распаковываются в папку %AppData% с перезаписью существующих файлов, а затем запускаются на исполнение.

Установку полезной нагрузки, сокрытой во втором RAR SFX, обеспечивает командный файл (.bat), в котором определены пароль и папка для сохранения файла. Сценарий также запускает команду на отображение картинки-приманки.

 

В более новых образцах вредоносных вложений маскировочная графика и PDF отсутствуют, а запароленный RAR SFX распаковывается в папку %temp%, но атака проводится таким же образом — за один клик.

Вся исполняемая полезная нагрузка в рамках данной имейл-кампании скомпилирована с помощью .NET и использует opensource-обфускатор ConfuserEX. Исследователям удалось идентифицировать CoinMiner, умеющий воровать данные из браузеров и Microsoft Outlook, а также Quasar RAT — трояна с открытым исходным кодом, опубликованным на GitHub.

Последнее время в Trustwave наблюдают рост количества угроз, запакованных в ZIP под паролем. Порядка 96% из них распространяются посредством рассылок с ботнета Emotet.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В ряде регионов России WhatsApp могут замедлять, а следом — заблокировать

В отдельных регионах страны работу мессенджера WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещенной в России) могут специально замедлять. Эту информацию подтвердил Антон Немкин, член Госдумы по информполитике.

В беседе с РИА Новости Немкин объяснил, что речь идёт об антитеррористической деятельности, как было, например, недавно в Дагестане.

Более того, следующим шагом вполне может стать блокировка иностранного мессенджера, если руководство WhatsApp не выполнит требование пресекать на своей площадке распространение призывов к участию в экстремистских акциях.

Однако Немкин подчеркнул, что на данный момент никаких чётких решений о блокировке WhatsApp в России не принималось.

На этой неделе медленную работу средства мгновенного обмена сообщениями отмечали пользователи из Дагестана, Краснодарского края, Ростовской и Волгоградской областей, Ставрополья и Москвы.

Напомним, в мае мы сообщали, что спецслужбы используют нераскрытую уязвимость WhatsApp для слежки. Само содержание разговоров остаётся вне зоны досягаемости служб, однако они могут узнать, с кем общаются те или иные пользователи в определённое время и в каких группах они состоят.

Из позитивного: на днях стало известно, что разработчики WhatsApp готовятся генеративный ИИ для создания изображений. В частности, эта функциональность будет применяться для аватаров.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru