Эксперты фиксируют рост спам-рассылок, нацеленных на распространение банковского трояна Emotet. Для доставки зловреда авторы атаки используют документы Microsoft Word с вредоносным макросом или PDF со встроенными скриптами.

Названный банкер известен ИБ-сообществу с 2014 года. Он имеет модульную структуру и умеет инициировать мошеннические транзакции, копировать учетные данные и адреса email, рассылать свои копии в спаме, самостоятельно распространяться в локальной сети и загружать другое вредоносное ПО.

Доставка Emotet на компьютеры пользователей осуществляется в основном через спам. В текущем году подобные рассылки проводятся достаточно регулярно. Новая кампания, по данным экспертов, была запущена на прошлой неделе. На пике активности спамеров в Microsoft за три часа зарегистрировали порядка 300 тыс. вредоносных email-сообщений.

Заголовки поддельных писем не отличаются большим разнообразием — получателю предлагается ознакомиться с новым счетом или балансом после некоего платежа либо перевода. При открытии прикрепленного файла в формате .doc или .pdf на машину загружается Emotet (в первом случае пользователь должен, следуя подсказке, включить макрос).

Исследователи из Malwarebytes отметили, что в рамках текущей кампании иногда вместо Emotet можно получить Trickbot — другой, тоже активно развивающийся модульный банкер.

С конца лета эксперты наблюдают неуклонный рост числа заражений Emotet; эта тенденция стала особенно заметной на прошлой неделе. Поскольку зловред снабжен механизмами самораспространения по сети и за ее пределами, не исключено, что после новых спам-рассылок рост его популяции значительно ускорится.

Категории: Вредоносные программы, Спам