Ботнет Emotet вновь решил подрасти — зафиксирован новый всплеск аттач-спама

Татьяна Никитина 03 Ноября 2022 - 18:10

...

Ботнет Emotet вновь решил подрасти — зафиксирован новый всплеск аттач-спама

Эксперты предупреждают о новых вредоносных рассылках с ботнета Emotet. Одноименный троян, загружаемый при открытии вложения, не приводит с собой дополнительных зловредов — видимо, целью имейл-кампании является наращивание потенциала бот-сети.

Согласно наблюдениям Cryptolaemus , рассылка спама, нацеленного на дальнейшее распространение Emotet, стартовала в восемь утра 2 ноября UTC (около 11 утра по Москве). Вредоносные письма содержат вложение — документ XLS или запароленный архив с XLS-файлом.

Злоумышленники имитируют продолжение переписки, украденной трояном, и щедро раздают поддельные инвойсы, сканы, электронные формы и т. п. Анализ образцов вложений, загруженных на VirusTotal, выявил множество вариантов имени файла и разнообразие используемых языков — в основном европейских.

Текущая Emotet-кампания также использует новый шаблон вложения Excel: вредоносный документ содержит инструкции, согласно которым получатель должен скопировать файл в папку «Шаблоны» Microsoft Office и вызвать его оттуда. Такой трюк помогает обойти режим защищенного просмотра Microsoft, при котором блокируется исполнение макросов.

Дело в том, что при загрузке файлов из интернета Windows выставляет флаг MoTW, руководствуясь которым, Microsoft Office открывает документ в Protected View. Папки Templates считаются доверенными, и подобные ограничения на них не распространяются — даже если файл помечен MoTW. Копирование в эти папки возможно только с разрешения админа, и попытка вызовет системное предупреждение, но злоумышленники, видимо, надеются, что жертва нажмет кнопку «Продолжить».

При открытии вредоносного файла в полнофункциональном редакторе выполняется встроенный макрос, загружающий Emotet (KLyt.dll). Для сохранения в каталоге %UserProfile%\AppData\Local создается папка с произвольным именем, затем DLL запускается на исполнение с помощью regsvr32.exe.

Зловред работает в фоновом режиме, подключаясь к C2 для получения инструкций. На настоящий момент команд на загрузку дополнительных файлов не замечено.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Яков Шпунт 23 Января 2026 - 10:04

Мошенничество Онлайн-мошенничество Домашние пользователи

Жительницу Саратовской области обманул лже-Киркоров

Мошенник, действовавший через мессенджер, похитил деньги у жительницы Балакова Саратовской области, представившись эстрадным певцом Филиппом Киркоровым. Переписка между женщиной и аферистом, выдававшим себя за известного артиста, продолжалась с ноября до начала января. Всё это время потерпевшая была уверена, что общается именно с исполнителем.

Об инциденте сообщило РИА Новости со ссылкой на пресс-службу УМВД по Саратовской области.

В ходе общения «Киркоров» активно осыпал собеседницу комплиментами и в итоге предложил организовать личную встречу. Обязательным условием стала оплата его проезда в Балаково. Злоумышленник щедро раздавал обещания, однако после того как женщина перевела 98,5 тыс. рублей, он перестал выходить на связь.

Поняв, что стала жертвой обмана, жительница Балакова обратилась в полицию. По её заявлению было возбуждено уголовное дело по статье о мошенничестве.

Схема так называемых фальшивых свиданий (Fake Date) остаётся одной из самых распространённых. Чаще всего злоумышленники используют сайты знакомств и мессенджеры. По итогам 2025 года ущерб от действий таких аферистов удвоился, а пики активности традиционно приходятся на 14 февраля и 8 марта.

К осени мошеннические схемы начали заметно усложняться. В частности, злоумышленники стали заманивать жертв на поддельные сайты по продаже билетов на концерты и другие мероприятия.

В ряде случаев подобных аферистов удаётся задержать. Так, в июле был арестован серийный мошенник, который обманывал молодых одиноких жительниц Санкт-Петербурга.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »