Троян Emotet использует старые письма пользователей

Операторы трояна Emotet стали рассылать свой зловред через электронную переписку пользователей, получая к ней доступ через взломанные email-аккаунты. Новый метод позволяет преступникам обходить спам-фильтры и усыплять бдительность жертв.

Многофункциональный троян Emotet входит в пятерку самых распространенных зловредов по итогам 2018 года. Его функции включают кражу данных с зараженных компьютеров и загрузку стороннего ПО. Эксперты оценивают охват этого трояна в сотни тысяч пользователей — точное число остается неизвестным, поскольку зловред может скрытно перемещаться по IT-инфраструктуре.

О новой тактике Emotet сообщили эксперты сразу нескольких ИБ-компаний. По их словам, злоумышленники начали подготовку к кампании еще в ноябре 2018 года, когда их троян научился красть электронные письма. Специалисты сразу предположили, что преступники намерены применить эти данные для шпионажа или направленных атак.

Как выяснилось в последние недели, письма используются для доставки Emotet участникам переписки. Расчет построен на том, что адресаты вредоносных рассылок скорее откроют сообщение от знакомого отправителя, особенно если оно продолжает начатую ранее цепочку.

Злоумышленники оставляют текст старых писем без изменений, добавляя лишь пару слов с призывом открыть приложенную ссылку или Word-документ с вредоносным макросом.

Исследователи сообщают о двух волнах кампании, в которых используются письма на английском и немецком языках. Под первый удар попали пользователи в Германии, Канаде, США и Японии, второй пришелся на Мексику и страны Южной Америки. По мнению экспертов, в настоящий момент на этих атаках сосредоточены основные усилия операторов Emotet. Об этом говорит тот факт, что преступники задействовали мощности обоих своих серверных кластеров — в обычных условиях они работают поочередно.

Хотя основной целью злоумышленников остается расширение охвата Emotet, специалисты призывают не забывать об угрозе пользовательской конфиденциальности. Данные из украденных сообщений по-прежнему можно использовать для шпионажа и подготовки направленных атак.

Эксперты напоминают, что как минимум в одном случае похищенная переписка содержала личную информацию клиентов одной из американских клиник. Подобные инциденты подпадают под действие законов о защите персональных данных и могут грозить пострадавшей организации немалыми штрафами. Кроме того, преступники могут использовать корпоративную переписку какой-либо компании, чтобы заразить ее конкурентов, которые вряд ли удержатся от того, чтобы открыть вложение у попавшего к ним чужого письма.

Исследователи призывают пользователей с осторожностью относиться даже к сообщениям от знакомых отправителей. Администраторам корпоративных сетей следует внимательно отслеживать письма, которые приходят на их домены, чтобы не пропустить угрозу.

Стоит отметить, что сам по себе спам на теме старых сообщений уже встречался ИБ-экспертам. В октябре 2017 года схожий метод применила северокорейская группировка, которая взламывала аккаунты своих целей, чтобы от их лица отправить адресатам вредоносное ПО. В рамках другой кампании, которую обнаружили в 2018 году, скомпрометированные почтовые ящики использовались для распространения шпионского трояна Ursnif.

Тем не менее операторы Emotet внесли несколько новшеств в технологию компрометации переписки. Так, северокорейским преступникам приходилось взламывать каждый аккаунт отдельно, а операторы Ursnif сами сочиняли текст писем. В отличие от них, организаторы нынешних атак автоматизировали свою кампанию как на этапе хищения писем, так и при рассылке вредоносных сообщений и использовали подлинные электронные сообщения.

Источник: https://threatpost.ru/emotet-uses-previous-email-conversations/32272/

Дата: 2019-04-15 16:21:10

Источник: https://exploit.in/2019/12355/