Киберпреступники используют целый набор современных вредоносных технологий, чтобы добраться до финансовых средств жертвы, и, судя по найденным участкам кода, хорошо владеют русским языком.
Антивирусные эксперты заинтересовались троянцем еще в прошлом году – его отличала сложная модульная архитектура, технологии автоматической кражи денег с банковских счетов, а также избирательность – атаки были нацелены на небольшое число немецких и австрийских банков. Однако злоумышленники быстро прекратили активность, а командные серверы перестали отвечать зараженным узлам. Тем не менее, очевидная высокая техническая подготовка кампании не оставляла сомнений, что последует новая волна атак, первые из которых были зарегистрированы уже в январе этого года. Обновленная версия банкера не только расширила список жертв, но и стала тщательнее маскировать свою деятельность.
Emotet распространяется посредством спам-писем на немецком языке с вредоносными ссылками или вложениями, внутри которых находится загрузчик зловреда. При этом файл намеренно имеет очень длинное имя, чтобы скрыть от пользователя расширение «exe» в Проводнике Windows, который обычно не отображает на экране название полностью. Также с целью усложнения детектирования антивирусами основная часть троянца скачивается специальным загрузчиком в зашифрованном виде.
Распространяющая Emotet спам-рассылка выглядит очень правдоподобно
Троянец включает в себя целый набор вредоносных модулей: для отправки спама, организации DDoS-атак и воровства учетных записей электронной почты. Но свою главную задачу – кражу денег – Emotet выполняет благодаря модулю модификации веб-трафика. Внедряя зловредный код в страницы системы онлайн-банкинга, преступники автоматически инициируют перевод средств, а так как обойти систему двухфакторной аутентификации невозможно, троянец привлекает к участию самого пользователя – для обмана жертвы используются убедительные приемы социальной инженерии. В результате зараженный пользователь не только лишается собственных средств, но также распространяет троянца по контактам своей адресной книги.
«Пример Emotet показывает, что злоумышленникам не нужно даже изобретать принципиально новые трюки – достаточно эффективно использовать существующие. Жертвами выбраны только клиенты определенных банков, фальшивые письма рассылки составлены очень правдоподобно, схема дальнейшего распространения продумана до мелочей, а механизм финансовых краж автоматизирован настолько, насколько это вообще возможно. Если лет пять назад от подобного целиком защищал простой здравый смысл, то теперь с ростом профессионализма хакеров безопасность своих денежных средств лучше доверять надежным защитным средствам», – Алексей Шульмин, антивирусный эксперт Kaspersky Lab.
О технических деталях вредоносной программы можно узнать по адресу https://securelist.ru/analysis/25416/banker-emotet-razvitie-ugrozy/.