Ботнет стал заражать системы пользователей новым модулем для похищения данных банковских карт.
Ботнет Emotet теперь заражает потенциальных жертв вредоносным модулем для похищения данных кредитных карт из профилей пользователей Google Chrome. Похитив данные (имя и фамилия держателя карты, дата истечения срока действия, номер), вредонос отправляет их на сторонние C&C-серверы, не относящиеся к инфостилеру.
«6 июня эксперты Proofpoint обнаружили новый модуль Emotet, доставляемый ботнетом E4. К нашему удивлению, это оказался инфостилер для похищения данных банковских карт, атакующий исключительно пользователей браузера Chrome. Собранные данные отправляются на другой C&C-сервер, не тот, с которого распространяется загрузчик модуля», – сообщили специалисты Proofpoint Threat Insights порталу BleepingComputer.
Это стало происходить после увеличения активности Emotet в апреле нынешнего года и перехода на 64-битные модули.
Спустя неделю для выполнения команд PowerShell с целью заражения атакуемых устройств вредонос начал использовать файлы LNK, отказавшись от макросов Microsoft Office, отключенных по умолчанию с начала апреля 2022 года.
Вредоносное ПО Emotet было создано в 2014 году и тогда использовалось для распространения банковских троянов. Затем оно эволюционировало в ботнет, используемый группировкой TA542 (Mummy Spider), для доставки полезной нагрузки второго этапа. Кроме того, Emotet позволяет похищать пользовательские данные, проводить разведку в скомпрометированной сети и осуществлять боковое перемещение к уязвимым устройствам.
Emotet также известен доставкой на скомпрометированные системы вредоносного ПО Qbot и Trickbot, использующихся для развертывания дополнительного ПО, включая биконы Cobalt Strike и вымогательское ПО Ryuk и Conti .
В начале 2021 года инфраструктура Emotet была отключена в ходе правоохранительной операции. Немецкие правоохранительные органы использовали эту инфраструктуру против самого же ботнета – распространяли через нее на зараженные системы модуль, удаляющий вредонос.
Ботнет вернулся в ноябре 2021 года, используя уже существующую инфраструктуру TrickBot.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале