Банковият троянец Emotet се завърна и се разпространява чрез спам

Изследователи от TrendMicro информират за нова злонамерена кампания, в рамките на която злоумишлениците разпространяват банковия троянец Emotet. За първи път, злонамереният софтуер Emotet бе открит през 2014 година. След това той изчезна от зрителното поле, но през август 2017 г. бе регистрирана повишена активност на нови видове вредоносен софтуер (TSPY_EMOTET.AUSJLA, TSPY_EMOTET.SMD3, TSPY_EMOTET.AUSJKW, TSPY_EMOTET.AUSJKV), способни да заредят различни видове зловредни модули на целевата система.

Като възможни причини за връщането на Emotet, изследователите назовават интереса на кибер-престъпниците към нови райони и отрасли. Въпреки, че предишните версии на Emotet бяха насочени предимно към банковия сектор, този път авторите на зловредния софтуер са разширили полето му на дейност. Нападателите атакуваха дружества от различни отрасли, включително и такива от хранителната промишленост и от областта на здравеопазването.

Основните целеви региони са САЩ, Великобритания и Канада. При това в САЩ са регистрирани 58% от всички установени случаи на заразяване, а делът на Великобритания и Канада е съответно 12% и 8%.

Троянецът се разпространява по няколко начина, като основният е спам-бюлетинът, скрит под сметки или уведомление за потвърждаване на плащане. В заразяващият имейл се съдържа зловреден линк, при щракването върху който се зарежда документ с опасни макроси. След активиране на макроса се изпълнява командата Powershell, зареждаща троянеца Emotet.

Веднъж влязъл в системата, Emotet зарежда свои копия в системните папки и се регистрира като системна услуга. Той също така добавя записи в системния регистър на Windows за осигуряване на автоматичното му изпълнение при стартиране на системата. След това, злонамереният софтуер пристъпва към събирането на информация за вашата система и данни за банковите Ви сметки, актуализира се до последната версия и зарежда допълнителен зловреден софтуер.