Компания ESET — лидер в области информационной безопасности — предупреждает о росте активности ботнета Emotet, который распространяется через спам и может похищать информацию с устройств жертв. В частности, злоумышленники могут собирать информацию о банковских картах с браузера.
При этом киберпреступников интересуют не только устройства компаний, но и обычных пользователей. Большинство атак в течение 2022-2023 годов было направлено на некоторые страны Европы, а также Японию.
«Emotet распространяется через спам. Угроза может похищать информацию с инфицированных компьютеров и распространять вредоносные программы. Киберпреступники не очень привередливы при выборе своих целей, устанавливая вредоносное программное обеспечение в системы, которые принадлежат отдельным лицам, компаниям и организациям», — рассказывает Якуб Калоч, исследователь ESET.
Стоит отметить, что Emotet – это семейство вредоносных программ, которое активно с 2014 года и управляется группой киберпреступников, известной как Mealybug или TA542. Сначала угроза имела функционал банковского трояна, а затем превратилась в ботнет, ставший одной из самых распространенных угроз во всем мире. В январе 2021 года Emotet был обезврежен в результате совместных усилий восьми стран, координированных Евроюстом и Европолом.
Ботнет вернулся в ноябре 2021 года и запустил несколько волн спам-сообщений. С конца 2021 по середину 2022 года Emotet распространялся в основном через вредоносные документы Microsoft Word и Microsoft Excel со встроенными макросами VBA. Отключение в 2022 году Microsoft макросов VBA в документах, полученных через Интернет, изменило правила игры для многих семейств вредоносных программ, которые использовали фишинговые электронные письма с вредоносными документами как метод распространения.
«До конца 2022 года злоумышленники пытались найти новый вектор атаки, который был бы столь же эффективным, как макросы VBA. В 2023 году они распространяли вредоносный спам, экспериментируя с различными техниками проникновения и социальной инженерии», – объясняет исследователь ESET.
Позже Emotet использовал встроенную приманку в MS OneNote, и даже предупреждение, что это действие может привести к загрузке вредоносного содержимого, как правило, жертв не останавливало. Кроме того, после повторного появления в ботнет было добавлено несколько новых модулей и функций, чтобы предотвращать отслеживание и усложнить обнаружение.
Распространяется Emotet через спам-сообщения, и пользователи часто доверяют этим электронным письмам. И хотя до обезвреживания угроза похищала сообщения и контактную информацию с Outlook, после восстановления деятельности ботнет сосредоточился на бесплатной альтернативной программе для обмена электронной почтой – Thunderbird. Кроме этого, угроза начала использовать модуль, который похищает информацию о банковских картах, хранящуюся в браузере Google Chrome.
Согласно телеметрии ESET, активность ботнета уменьшилась с начала апреля 2023 года, вероятно, из-за поиска нового эффективного вектора атаки. Большинство атак Emotet, выявленных ESET с января 2022 года, были направлены на Японию (43%), Италию (13%), Испанию (5%) и Мексику (5%).
Для защиты от подобных угроз специалисты ESET рекомендуют не переходить по неизвестным ссылкам, отправленным через сообщения в соцсетях или электронных письмах. Кроме того, используйте приложения для защиты ваших компьютеров и мобильных устройств от различных угроз, включая вирусы, трояны и фишинг-атаки.