Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Операторы Emotet возобновили спам-кампанию после исправления бага в установщике

27/04/22

hack136-1Операторы вредоносного ПО Emotet исправили баг, из-за которого после открытия вредоносного документа заражение системы так и не происходило, и снова запустили фишинговую кампанию.

Главным вектором распространения Emotet являются спам-письма с вредоносным вложением. Когда жертва открывает вредоносный документ, вредоносные макросы или скрипты загружают на ее систему Emotet DLL. После загрузки вредонос ищет и похищает электронные адреса для использования в будущих фишинговых кампаниях и загружает дополнительную полезную нагрузку наподобие Cobalt Strike или другого вредоносного ПО, в том числе вымогательского.

В пятницу, 22 апреля, операторы Emotet начали новую операцию по рассылке спама с вложенным ZIP-файлом, защищенным паролем. В нем содержался файл Windows LNK (ссылка быстрого доступа), замаскированный под документ Word.

После двойного нажатия на ссылку быстрого доступа выполнялась команда поиска в файле особой строки с кодом Visual Basic Script. Этот код затем добавлялся в новый файл VBS, который выполнялся на системе.

Однако вышеупомянутая команда содержала ошибку, поскольку использовала статическое имя ссылки быстрого доступа Password2.doc.lnk, хотя истинное имя прикрепленного файла было другим, например, INVOICE 2022-04-22_1033, USA.doc. Из-за этого команда не выполнялась, поскольку файла Password2.doc.lnk не существовало, и файл VBS не создавался, пояснили специалисты Cryptolaemus.

Как сообщил порталу BleepingComptuer исследователь Cryptolaemus Джозеф Рузен (Joseph Roosen), операторы Emotet прекратили новую операцию в пятницу ночью, когда обнаружили, что из-за бага заражения системы не происходило. Тем не менее, они быстро исправили ошибку и уже в понедельник снова запустили рассылку спама.

На этот раз в ссылке быстрого доступа содержится истинное имя файла, команда выполнятся и файл VBS создается должным образом. Emotet беспрепятственно загружается и выполняется на атакуемой системе.

Темы:УгрозыBleeping ComputerботнетEmotetСпам-атаки
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...