Страшный троянец Emotet вернулся после пятимесячного перерыва, запустив новую вредоносную программу. исследователи предупреждают, что это кампания по распространению.

Исследователи из Cryptolaemus, группы, отслеживающей Emotet, наблюдали, как злоумышленник внезапно оживает и рассылает электронные адреса по всему миру с помощью фишинга электронные письма ранним утром 2 ноября.

«Похоже, Ивану снова нужны деньги, поэтому он вернулся к Работа. Будьте внимательны к файлам XLS, вложенным напрямую, а также заархивированным и защищенным паролем XLS», — предупредила группа в треде Twitter< /а>.

Файлы Office с оружием

Как обычно, кампания вращается вокруг вооруженных документов Office, в данном конкретном случае - файлов Excel, содержащих вредоносные макросы.

Злоумышленник захватывает существующие цепочки электронной почты, используя функцию ответа для распространения документа. Однако есть несколько заметных изменений в том, как работает этот трюк, поскольку Microsoft недавно отключила макросы по умолчанию и требует, чтобы администраторы специально разрешали запуск этой функции.

Кроме того, Windows теперь добавляет флаг Mark-of-the-Web (MoTW) ко всем файлам, загруженным из Интернета. При открытии файлов, помеченных MoTW, отображается сообщение о том, что они были загружены из небезопасного места и что их можно открыть только в режиме защищенного просмотра, чтобы защитить пользователей от случайного запуска вредоносного макроса.

Подробнее

> Emotet по-прежнему остается худшим вредоносным ПО в мире. но может ненадолго

> Профили пользователей Google Chrome атакованы вредоносной программой Emotet

> Вот наши Воспользуйтесь лучшими инструментами защиты от кражи ID прямо сейчас

Это побудило злоумышленников добавить в файл специальное сообщение, имитирующее предупреждение системы безопасности Excel (желтая горизонтальная полоса над содержимым) и указывающее, что для запуска файла его необходимо поместить в шаблоны Office. папку.

Все файлы, запускаемые из папки Templates, автоматически запускают макросы. Действительно, добавить файлы в эту конкретную папку не так просто, поскольку Windows запрашивает разрешение администратора, но есть вероятность, что многие жертвы проигнорируют эти очевидные красные флажки.

Пока что Emotet бездействует на скомпрометированных конечных точках, поэтому исследователи не могут определить, для какой кампании он используется. В прошлом Emotet использовался для сброса маяков Cobalt Strike, вредоносных программ TrickBot и других.

Через: BleepingComputer