Троян Emotet прячется от антивирусов в файлах весом более 500 Мбайт

Татьяна Никитина 09 Марта 2023 - 16:19

Домашние пользователи

...

Седьмого марта эксперты зафиксировали новую волну аттач-спама, нацеленного на распространение Emotet. Объемы вредоносных рассылок пока невелики, загрузки дополнительных зловредов не обнаружено.

Спам-рассылка, выявленная Hornet Security, как и в ноябре, использует форму ответа на деловое письмо, ранее украденное Emotet у жертвы заражения. Вредоносное вложение, подвергнутое анализу в Cofense, было замаскировано под инвойс.

Прикрепленный архив содержит документ Microsoft Word весом более 500 Мбайт. Чтобы увеличить размер файла, злоумышленники заполняют его неиспользуемыми данными в надежде, что антивирусный сканер его проигнорирует или проверит только первые байты.

При открытии документа получателю предлагается включить режим редактирования и активный контент для просмотра в режиме Preview. Если пользователь последует подсказке, активируется макрос, загружающий Emotet с внешнего сайта.

Загруженная DLL-библиотека сохраняется под произвольным именем в папке %LocalAppData% и запускается на исполнение с помощью regsvr32.exe. Для обхода антивирусов троянский файл тоже увеличен в размерах до 500+ Мбайт. По состоянию на утро 9 марта его детектирует 21 антивирус из 62 в коллекции VirusTotal.

При запуске Emotet работает в фоновом режиме в ожидании команд с C2-сервера. Загрузки дополнительного пейлоада пока не зафиксировано, вредонос просто собирает контакты и письма для дальнейших спам-рассылок.

Эксперты надеются, что успех текущей Emotet-кампании будет небольшим: прошлым летом Microsoft ввела дефолтную блокировку макросов в документах Office, загруженных из интернета. Это ограничение распространяется также на сохраненные вложения в письма, и злоумышленники, использующие имейл, начали переходить на другие форматы. Последнее время они активно осваивают OneNote.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 29 Июня 2026 - 12:33

Android Трояны Домашние пользователи

Android-троян Rokarolla маскируется под Google Play Protect

Пока пользователи думают, что устанавливают защиту, мошенники устанавливают троян. Исследователи обнаружили новый Android-вредонос Rokarolla, который распространяется через поддельные сайты, маскируясь под Google Play Protect, Google Chrome, TikTok и другие популярные приложения.

На первый взгляд схема банальна — жертву уговаривают скачать APK с фейкового сайта.

После установки Rokarolla просит предоставить права Accessibility Service, доступ к СМС, уведомлениям и другим важным функциям. Если пользователь соглашается, смартфон фактически переходит под управление злоумышленников.

По данным исследователей, троян нацелен как минимум на 217 банковских и криптовалютных приложений. При запуске одного из них вредонос показывает фальшивую страницу входа, практически неотличимую от настоящей. Все введенные логины, пароли и платежные данные сразу отправляются на серверы операторов.

Но этим возможности Rokarolla не ограничиваются. Он умеет перехватывать СМС с одноразовыми кодами, отправлять сообщения от имени пользователя, блокировать телефонные звонки, подменять содержимое буфера обмена — например, криптокошельки, — а также вести кейлоггинг, делать скриншоты, извлекать текст с экрана и даже собирать контакты WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России).

Для управления заражённым устройством используется развитая инфраструктура командных серверов. Исследователи насчитали не менее 137 удалённых команд, позволяющих обновлять настройки атаки, запускать новые фишинговые страницы, управлять устройством и собирать данные.

Чтобы оставаться незаметным, Rokarolla пытается отключить Google Play Protect, скрывает свой значок, подавляет уведомления и использует обманные оверлеи, мешающие пользователю заметить подозрительную активность.

Эксперты отмечают, что современные банковские трояны постепенно превращаются в универсальные платформы для цифрового мошенничества. Лучшей защитой по-прежнему остается отказ от установки приложений из сторонних источников, использование только Google Play, включенный Play Protect и максимально осторожное отношение к запросам на выдачу прав Accessibility.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!