Очередная версия банковского трояна Emotet научилась использовать ранее взломанные IoT-устройства в качестве прокси для своих настоящих командных серверов, сообщает BleepingComputer. По мнению экспертов TrendMicro, обнаруживших обновления вредоносного ПО, увеличение сложности C&C-трафика говорит о желании злоумышленников запутать свои следы.

Согласно описанию Министерства внутренней безопасности США, Emotet — комплексное ПО, которое часто выступает в роли загрузчика для других банковских троянов. Вредоносная программа предположительно была создана хакерской группировкой Mummy Spider. Код Emotet использует модульные DLL-библиотеки для непрерывного улучшения своих возможностей. На сегодняшний день он остается одной из главных угроз для правительственных учреждений; каждый случай заражения приводит к быстрому распространению трояна по внутренней сети. На устранение последствий одной такой атаки может уходить до $1 млн.

Обычно заражение Emotet происходит через спам по электронной почте. После того как пользователь открывает вложенный вредоносный файл, троян прописывает в реестре ключи для автозапуска и обеспечивает свое постоянное присутствие в системе. Установив затем соединение с командным сервером, он скачивает нужные файлы и получает дальнейшие инструкции.

Теперь же Emotet научился после заражения добавлять в исходящий трафик случайные URI-пути, чтобы лучше скрывать адреса C&C-серверов, а также использовать подключенные к Интернету скомпрометированные устройства в качестве прокси-серверов. Как следует из анализа специалистов TrendMicro, IP-адреса таких прокси жестко прописаны в коде вредоносного ПО. Таким образом, реальная командная инфраструктура зловреда теперь прикрыта сетью промежуточных устройств.

Это далеко не первое сообщение о «мутациях» Emotet: в феврале он сменил способ доставки, а летом научился поддерживать сторонние библиотеки и превратился в дроппер.

Категории: Аналитика, Вредоносные программы