Троянец Emotet, замеченный впервые в 2014 году, вновь проявил активность. Теперь под его прицел попали клиенты нескольких швейцарских банков, сообщила «Лаборатория Касперского».
Троянец Emotet, замеченный впервые в 2014 году, вновь проявил активность. Теперь под его прицел попали клиенты нескольких швейцарских банков.
Специалисты «Лаборатории Касперского» обнаружили новые модификации банковского троянца Emotet – теперь под прицел зловреда, замеченного впервые в 2014 году, попали клиенты нескольких швейцарских банков. Киберпреступники используют целый набор современных вредоносных технологий, чтобы добраться до финансовых средств жертвы, и, судя по найденным участкам кода, хорошо владеют русским языком.
Антивирусные эксперты заинтересовались троянцем еще в прошлом году – его отличала сложная модульная архитектура, технологии автоматической кражи денег с банковских счетов, а также избирательность – атаки были нацелены на небольшое число немецких и австрийских банков. Однако злоумышленники быстро прекратили активность, а командные серверы перестали отвечать зараженным узлам. Тем не менее, очевидная высокая техническая подготовка кампании не оставляла сомнений, что последует новая волна атак, первые из которых были зарегистрированы уже в январе этого года.
Обновленная версия банкера не только расширила список жертв, но и стала тщательнее маскировать свою деятельность. Emotet распространяется посредством спам–писем на немецком языке с вредоносными ссылками или вложениями, внутри которых находится загрузчик зловреда. При этом файл намеренно имеет очень длинное имя, чтобы скрыть от пользователя расширение «exe» в Проводнике Windows, который обычно не отображает на экране название полностью. Также с целью усложнения детектирования антивирусами основная часть троянца скачивается специальным загрузчиком в зашифрованном виде.
Троянец включает в себя целый набор вредоносных модулей: для отправки спама, организации DDoS–атак и воровства учетных записей электронной почты. Но свою главную задачу – кражу денег – Emotet выполняет благодаря модулю модификации веб–трафика. Внедряя зловредный код в страницы системы онлайн–банкинга, преступники автоматически инициируют перевод средств, а так как обойти систему двухфакторной аутентификации невозможно, троянец привлекает к участию самого пользователя – для обмана жертвы используются убедительные приемы социальной инженерии. В результате зараженный пользователь не только лишается собственных средств, но также распространяет троянца по контактам своей адресной книги.