Исследователи ИБ сообщили о новых атаках трояна Emotet, за которым профессиональное сообщество наблюдает с 2014 года. Зловред, начинавший с кражи банковских данных, получил функции дроппера и стал поддерживать сторонние библиотеки.

Первые кампании Emotet были направлены преимущественно против немецких пользователей. Позже он отметился атаками в Швейцарии и странах Содружества наций — Новой Зеландии, Великобритании и Канаде. Согласно недавнему сообщению US-CERT, от каждого связанного с Emotet инцидента государственные и местные органы самоуправления теряют до $1 миллиона.

Изначально зловред распространялся через спам. Следующие поколения научились самостоятельно двигаться по корпоративной инфраструктуре, подбирая пароли и заражая компьютеры жертв без каких-либо действий с их стороны. Разработчики постоянно добавляют в код новые функции для автоматизации кражи денег и противодействия антивирусным системам.

В своих последних воплощениях Emotet переквалифицировался в дроппер для других банковских троянов. Исследователи связывают его возобновившуюся активность с группировкой Mealybug. По словам аналитиков, с недавнего времени она стала зарабатывать на распространении вредоносов в интересах других группировок.

Так, в конце 2017 года эксперты обнаружили, что Emotet поражает жертв трояном IcedID. Этот продвинутый зловред способен туннелировать веб-трафик, чтобы подменять легитимные интернет-страницы на скомпрометированные. С февраля 2018 года в качестве полезной нагрузки обнаружился сетевой червь Quakbot, который умеет красть учетные данные и в короткий срок самостоятельно создавать обширные ботнеты.

В своем нынешнем виде Emotet представляет собой, по выражению аналитиков Symantec, «решение полного цикла по доставке зловредного ПО». Вирусописатели добавили в код поддержку библиотек с открытым исходным кодом от сторонних разработчиков, в частности протокола Google, который обеспечивает эффективное сжатие файлов без потери качества.

Эксперты видят в этом подтверждение профессионализма стоящих за трояном киберпреступников. По их мнению, Emotet еще долго не прекратит свою активность, а ИБ-специалистам будет нелегко отражать его атаки, за которыми стоят уже больше четырех лет эволюции.

В последнее время дропперы пользуются все большей популярностью у киберпреступников. Загрузчики упрощают атаки на мобильных пользователей, позволяя преступникам обойти защиту официального магазина Google Play.

Кроме того, пассивный доход от доставки чужих вредоносов зачастую оказывается для злоумышленников привлекательнее, чем кража финансовых данных и персональной информации с помощью собственных банковских троянов и шпионского ПО.

Категории: Вредоносные программы