Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Ботнет Emotet заражает пользователей Google Chrome инфостилером

10/06/22

hack58-Jun-10-2022-10-37-55-74-AMБотнет Emotet теперь заражает потенциальных жертв вредоносным модулем для похищения данных кредитных карт из профилей пользователей Google Chrome. Похитив данные (имя и фамилия держателя карты, дата истечения срока действия, номер), вредонос отправляет их на сторонние C&C-серверы, не относящиеся к инфостилеру.

«6 июня эксперты Proofpoint обнаружили новый модуль Emotet, доставляемый ботнетом E4. К нашему удивлению, это оказался инфостилер для похищения данных банковских карт, атакующий исключительно пользователей браузера Chrome. Собранные данные отправляются на другой C&C-сервер, не тот, с которого распространяется загрузчик модуля», – сообщили специалисты Proofpoint Threat Insights порталу BleepingComputer.

Это стало происходить после увеличения активности Emotet в апреле нынешнего года и перехода на 64-битные модули, сообщает Securitylab.

Спустя неделю для выполнения команд PowerShell с целью заражения атакуемых устройств вредонос начал использовать файлы LNK, отказавшись от макросов Microsoft Office, отключенных по умолчанию с начала апреля 2022 года.

Вредоносное ПО Emotet было создано в 2014 году и тогда использовалось для распространения банковских троянов. Затем оно эволюционировало в ботнет, используемый группировкой TA542 (Mummy Spider), для доставки полезной нагрузки второго этапа. Кроме того, Emotet позволяет похищать пользовательские данные, проводить разведку в скомпрометированной сети и осуществлять боковое перемещение к уязвимым устройствам.

Emotet также известен доставкой на скомпрометированные системы вредоносного ПО Qbot и Trickbot, использующихся для развертывания дополнительного ПО, включая биконы Cobalt Strike и вымогательское ПО Ryuk и Conti.

В начале 2021 года инфраструктура Emotet была отключена в ходе правоохранительной операции. Немецкие правоохранительные органы использовали эту инфраструктуру против самого же ботнета – распространяли через нее на зараженные системы модуль, удаляющий вредонос.

Ботнет вернулся в ноябре 2021 года, используя уже существующую инфраструктуру TrickBot.

Темы:УгрозыботнетGoogle ChromeProofpointинфостилеры
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...