Emotet похищает вложения из писем жертв

Ранее в этом месяце ботнет Emotet, не подававший «признаков жизни» с февраля 2020 года, вернулся в строй с новой спам-кампанией. Понаблюдав за малварью, ИБ-специалисты сообщили, что ботнет сменил основную полезную нагрузку и теперь распространяет банковский троян QakBot (QBot), который пришел на смену обычному для ботнета TrickBot. Хотя работу ботнета пытаются саботировать неизвестные "доброжелатели", подменяя пейлоады фалами GIF, Emotet все же стал одной из самых активных угроз последних недель.

TOP10 last week's threats by uploads

#Emotet 1371 (315)


#njRAT 150 (146)

#AgentTesla 118 (176)

#FormBook 105 (121)

#NanoCore 75 (84)

#AsyncRAT 61 (49)

#LokiBot 57 (67)

#Qealler 55 (106)

#Masslogger 44 (38)

#Remcos 42 (68)

Malware Trends Tracker | ANY.RUN
Explore dynamic articles about various malware types. Look at latest analyzes and IOCs in real-time, track which malware is gaining popularity today.
any.run


Теперь издание Bleeping Computer, со ссылкой на специалистов Binary Defense, сообщает, что вредонос обзавелся новой функциональностью: начал похищать списки контактов, содержимое и вложения из писем своих жертв, чтобы рассылаемый спам выглядел как можно аутентичнее для следующих получателей. Эту информацию подтвердил известный и ИБ-исследователь Маркус Хатчинс (он же MalwareTech), который отмечает, что модуль для хищения данных появился у Emotet примерно 13 июня текущего года.

1596072853872.png

Эксперты пишут, что новая тактика позволяет операторам Emotet эффективно использовать перехваченные электронные письма и «включаться» в разговоры пользователей. То есть вредоносный URL-адрес или вложение в итоге будут выглядеть как новые сообщения в уже идущей дискуссии. Причем в отличие от других злоумышленников, операторы Emotet используют не только само «тело» украденных посланий, но и вложения из них, отмечают аналитики компании Cofense.


breaking #emotet news from @CofenseLabs in addition to stolen body text, emails are now including original attachment content to add even more legitimacy. significant data breach implications, again demonstrating that emotet infections are serious

j8XKLVA0_normal.jpg


Cofense Labs

@CofenseLabs
#Emotet seems to be using not only stolen email bodies, but is now including stolen attachments as well. This lends to even more authenticity in their phishing emails. In one example we found 5 benign attachments and a dropper link within the templated portion of the email.


Хакер.ру
 
Последнее редактирование модератором:
Назад
Сверху Снизу