Печально известный ботнет использует новую тактику перекачки файлов для атаки на пользователей
15 марта 2023 г.После нескольких месяцев отсутствия в сети зловещий ботнет Emotet вернулся и предлагает новые трюки.
Исследователи кибербезопасности из Deep Instinct недавно обнаружили новый вариант печально известного вредоносного ПО и утверждают, что в него добавлено несколько новых приемов, помогающих избежать обнаружения антивирусными программами, Ars Technica сообщил.
Согласно отчету, Emotet делает то, что у нее получается лучше всего, — распространяет вооруженные файлы Word по электронной почте. , содержащий макросы, которые, если они включены, запускают загрузку вредоносной полезной нагрузки со стороннего веб-сайта. Распространяемый файл «накачали» — раздули до больших размеров. Это помогает ему избежать срабатывания антивируса.
Активация макросов
Emotet использует разные методы для «прокачки» файла — иногда в конце документа просто добавляются нули, а иногда скопированы и вставлены целые абзацы из «Моби Дика» — белым шрифтом на белом фоне, чтобы их не было видно.
По словам исследователей, средний размер файла превышает 500 МБ. Файлы такого размера обычно не проверяются антивирусными программами.
Содержимое документа также размывается, с наложенным сообщением «документ защищен» — чтобы заставить жертву активировать макросы.
Если это произойдет, документ Word загрузит вредоносный файл .DLL, который также был «накачан». Файл .DLL размещен на законном стороннем сайте, который был взломан и используется в качестве мула для распространения вредоносного ПО.
> Emotet по-прежнему мир&apos худшее вредоносное ПО, но, возможно, ненадолго Если жертва случайно загрузит Emotet, он просканирует конечную точку на наличие паролей и других конфиденциальных данных и извлечет их в удаленное место. Кроме того, скомпрометированное устройство будет использоваться для распространения среди других жертв. Как отмечалось ранее, Emotet обычно распространяется по электронной почте, подключаясь к существующей цепочке электронной почты и отвечая на предыдущее сообщение, чтобы не вызывать подозрений. В электронном письме Emotet также будет обращаться к жертве по имени. Наконец, ботнет способен загружать дополнительные вредоносные полезные нагрузки, такие как программа-вымогатель Ryuk или вредоносное ПО TrickBot.
> Ботнет Emotet вернулся, чтобы отомстить
> Познакомьтесь с лучшими брандмауэрами прямо сейчас
Оригинал