Ботнет Emotet вновь решил подрасти — зафиксирован новый всплеск аттач-спама

Татьяна Никитина 03 Ноября 2022 - 18:10

...

Ботнет Emotet вновь решил подрасти — зафиксирован новый всплеск аттач-спама

Эксперты предупреждают о новых вредоносных рассылках с ботнета Emotet. Одноименный троян, загружаемый при открытии вложения, не приводит с собой дополнительных зловредов — видимо, целью имейл-кампании является наращивание потенциала бот-сети.

Согласно наблюдениям Cryptolaemus , рассылка спама, нацеленного на дальнейшее распространение Emotet, стартовала в восемь утра 2 ноября UTC (около 11 утра по Москве). Вредоносные письма содержат вложение — документ XLS или запароленный архив с XLS-файлом.

Злоумышленники имитируют продолжение переписки, украденной трояном, и щедро раздают поддельные инвойсы, сканы, электронные формы и т. п. Анализ образцов вложений, загруженных на VirusTotal, выявил множество вариантов имени файла и разнообразие используемых языков — в основном европейских.

Текущая Emotet-кампания также использует новый шаблон вложения Excel: вредоносный документ содержит инструкции, согласно которым получатель должен скопировать файл в папку «Шаблоны» Microsoft Office и вызвать его оттуда. Такой трюк помогает обойти режим защищенного просмотра Microsoft, при котором блокируется исполнение макросов.

Дело в том, что при загрузке файлов из интернета Windows выставляет флаг MoTW, руководствуясь которым, Microsoft Office открывает документ в Protected View. Папки Templates считаются доверенными, и подобные ограничения на них не распространяются — даже если файл помечен MoTW. Копирование в эти папки возможно только с разрешения админа, и попытка вызовет системное предупреждение, но злоумышленники, видимо, надеются, что жертва нажмет кнопку «Продолжить».

При открытии вредоносного файла в полнофункциональном редакторе выполняется встроенный макрос, загружающий Emotet (KLyt.dll). Для сохранения в каталоге %UserProfile%\AppData\Local создается папка с произвольным именем, затем DLL запускается на исполнение с помощью regsvr32.exe.

Зловред работает в фоновом режиме, подключаясь к C2 для получения инструкций. На настоящий момент команд на загрузку дополнительных файлов не замечено.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 17 Марта 2026 - 09:06

Домашние пользователи Системы контентной веб-фильтрации

Дом.Ру начал ограничивать скорость тем, кто перебрал трафик

Интернет-провайдер «Дом.ру» начал ограничивать трафик абонентам, чей ежемесячный объём потребления превысил 3 Тбайт. В компании считают, что такой показатель может свидетельствовать о коммерческом использовании подключения, что противоречит условиям абонентского договора. Пока мера затронула 267 человек в трёх регионах.

Как сообщил ТАСС со ссылкой на компанию, ограничение скорости для пользователей с аномально высоким потреблением трафика пока носит тестовый характер.

Речь идёт только о трёх городах — Санкт-Петербурге, Екатеринбурге и Самаре. Эта мера была применена к 267 абонентам из более чем 1200 пользователей, у которых выявили существенно завышенные объёмы трафика.

«Все тарифы оператора являются и остаются безлимитными. Проект был инициирован "Дом.ру" в связи с результатами проводимых в течение нескольких лет проверок по потреблению трафика и выявленными нарушениями», — прокомментировали в компании.

Для таких пользователей скорость доступа снижается до 50 Мбит/с. В компании утверждают, что этого достаточно для работы основных цифровых сервисов. При этом абонент может сохранить прежнюю скорость, доплачивая 100 рублей за каждые дополнительные 500 ГБ, либо дождаться начала следующего расчётного периода — тогда ограничение снимется автоматически.

Как показало исследование провайдера, в 1260 случаях, связанных с аномально высоким потреблением трафика, значительная часть клиентов оказалась юрлицами, использующими интернет в коммерческих целях. В компании также заявили, что выявили случаи перепродажи трафика. Как напомнили в «Дом.ру», 3 Тбайт трафика — это как минимум 750 полнометражных фильмов в HD-качестве или 1500 часов онлайн-видео.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!