«Лаборатория Касперского» выпустила исследование очередной версии банковского троянца Emotet, которая получила новые особенности и функции для сокрытия своей деятельности и переориентировалась на швейцарские банки.

Обновленный Emotet получил новый открытый ключ, его код очищен от незашифрованного текста и частично от отладочной информации и комментариев. Теперь он умеет сопротивляться исследованию: обнаружив, что запущен на виртуальной машине, он начинает обращаться к фиктивному списку серверов управления и контроля, чтобы не демаскировать настоящие серверы.

Единственный известный исследователям путь распространения троянца — рассылка спам-сообщений с вредоносными вложениями. Загрузчик Emotet упакован в ZIP-архив, причем файл загрузчика имеет очень длинное имя, чтобы пользователь не видел расширение .exe (в Проводнике Windows длинные имена отображаются не целиком).

Как и почти все современные продвинутые вредоносные платформы, Emotet имеет модульную структуру, что позволяет гибко конфигурировать его в каждом конкретном случае заражения. Аналитики «Лаборатории Касперского» сообщили о шести модулях Emotet, обнаруженных на данный момент:

  • loader — загрузчик, получаемый жертвой через спам-письмо или загрузкой со скомпрометированного сайта при обновлении.
  • nitol-like-ddos-module — DDoS-бот, также получаемый через спам или с зараженного сайта (при обновлении версии).
  • mss — спам-модуль, загружается модулем loader с зараженного сайта.
  • email_accounts_grabber — граббер почтовых учетных записей, использующий Mail PassView, ПО для восстановления забытых паролей к почте, загружается модулем loader с сервера управления и контроля.
  • banker — модуль для модификации трафика HTTP/HTTPS, загружается модулем loader с сервера управления и контроля.
  • outlook_grabber — граббер адресной книги Outlook, загружается модулем loader с сервера управления и контроля.

Как отметил в исследовании Алексей Шульмин, антивирусный эксперт «Лаборатории Касперского», «все устройство бота говорит о высокой степени автоматизации его работы: автоматически собираются новые email-адреса из адресных книг жертвы, автоматически рассылается спам с загрузчиком Emotet, автоматически выводятся деньги у пользователя; участие оператора сведено к минимуму».

С помощью модуля banker зловред внедряет в страницу интернет-банка вредоносный скрипт, предназначенный для мошеннического перевода денег со счета пользователя на счет мошенников. При этом для обхода двухфакторной аутентификации с одноразовыми паролями он обманывает пользователя, предлагая ввести одноразовый пароль якобы в целях тестирования новой функции безопасности интернет-банка.

В одном из скриптов для предыдущей версии Emotet исследователи обнаружили комментарий на русском языке, который, видимо, авторы забыли удалить перед компиляцией. Это позволило сделать вывод, что разработчики скриптов говорят по-русски.

«Пример Emotet показывает, что злоумышленникам не нужно даже изобретать принципиально новые трюки — достаточно эффективно использовать существующие. Жертвами выбраны только клиенты определенных банков, фальшивые письма рассылки составлены очень правдоподобно, схема дальнейшего распространения продумана до мелочей, а механизм финансовых краж автоматизирован настолько, насколько это вообще возможно. Если лет пять назад от подобного целиком защищал простой здравый смысл, то теперь с ростом профессионализма хакеров безопасность своих денежных средств лучше доверять надежным защитным средствам класса Internet Security», — отметил Алексей Шульмин.

Категории: Вредоносные программы, Главное