Истина где-то ниже
Ноябрь 3, 2018

Emotet крадет переписку жертвы за последние полгода

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Ботнет Emotet начал сбор электронных писем с зараженных компьютеров. Об этом сообщили исследователи компании Kryptos Logic, отслеживающие активность вредоносной сети. По словам экспертов, несколько дней назад зловред стал внедрять в инфицированные системы новый модуль, который создает архив всех сообщений из почтового ящика жертвы.

Экспертам пока неизвестны мотивы авторов ботнета, однако не исключено, что киберпреступники похищают информацию с целью шпионажа. По другой версии, они готовят кампанию с применением методов почтовой инженерии.

Атака начинается с установки на инфицированный компьютер DLL-библиотеки, предназначенной для сбора писем. Зловред использует Outlook Messaging API для получения адресов получателя и отправителя, их имен, темы сообщения и его полного содержания. Бот добавляет в *.tmp-файл сведения обо всей переписке жертвы за последние 180 дней и передает его на командный сервер, если размер архива превышает 116 байт.

Как утверждают специалисты, зомби-сеть обрабатывает сообщения, собранные только Microsoft Outlook, однако не исключают появление модулей для других почтовых клиентов в ближайшем будущем. Кампания не имеет территориальных ограничений, однако сфокусирована в большей степени на целях в США.

Как отмечают аналитики, в похищенных письмах может содержаться значительное количество персональных данных, попадающих под GDPR и другие правовые акты, что поставит многие компании под угрозу крупных штрафов.

Emotet впервые привлек внимание ИБ-специалистов в 2014 году. Зомби-сеть специализировалась на распространении оригинального банковского трояна, перехватывающего онлайн-транзакции. Летом 2017-го авторы переориентировали ботнет на доставку вредоносных компонентов по заказу криминальных группировок. Программа приобрела модульную структуру, что позволяет ей внедрять в инфицированные системы любую полезную нагрузку.

На прошлой неделе стало известно, что создатели Emotet изменили его код так, чтобы он мог обходить спам-фильтры почтовых провайдеров. Злоумышленники прибегли к методике перехвата доменов, чтобы передавать на сервер получателя легитимный ключ DKIM, не вызывающий подозрений у системы безопасности. Не исключено, что это было одним из шагов по подготовке к текущей вредоносной кампании.

Источник: https://threatpost.ru/emotet-gathers-email-for-last-six-months/28986/