10 Июня 2022 09:05 10 Июн 2022 09:05 |

Поделиться

Восставший из пепла ботнет принялся за кражу кредитных карт из браузера Google Chrome

Эксклюзивный выбор

Шифровальщик Emotet теперь пытается красть данные кредитных карт из профилей пользователей Google Chrome, если они туда загружены. Для этого Emotet пытается заражать целевых пользователей новым вредоносным модулем, назначение которого — как раз собирать информацию о кредитных картах, в том числе, имя пользователя, срок действия и номер карты.

Как выяснили эксперты компании Proofpoint, новый модуль был запущен 6 июня 2022 г. Любопытно, что для управления им используется один набор командных серверов, а выгружаются похищенные данные на другие серверы.

«К нашему удивлению, вредоносный модуль атакует исключительно браузер Chrome. После того, как данные о платежных картах собраны, они направляются на контрольные сервера, отличные от тех, которые управляют загрузочным модулем», — говорится в исследовании Proofpoint.

Новое пришествие Emotet

Первая итерация Emotet была обнаружена в 2014 г. На тот момент он представлял собой банковский троянец, однако постепенно эволюционировал в ботнет, которым пользовались сторонние APT-группировки для распространения дополнительных вредоносов. Функции Emotet позволяли злоумышленникам производить разведку во взломанных сетях и компрометировать новые устройства.

Ботнет Emotet ворует данные кредитных карт из профилей Google Chrome

Emotet также печально знаменит тем, что способен был загружать на скомпрометированные машины троянцы Qbot и Trickbot, которые, в свою очередь могли устанавливать туда «маяки» Cobalt Strike или сгружать шифровальщики, в том числе Ryuk и Conti.

В начале 2021 г. в результате международной силовой операции инфраструктура Emotet была уничтожена, а двое его предполагаемых операторов арестованы.

Правоохранительные органы Германии также использовали инфраструктуру Emotet против него самого, распространив через ботнет модуль, уничтожавший его вредоносы на конечных точках.

Однако уже в ноябре 2021 г. началось восстановление ботнета. Он стал распространяться заново с помощью нетронутой инфраструктуры TrickBot.

В апреле 2022 г. Emotet резко активизировался и начал активно менять методы работы. Он переключился на 64-битные модули и стал использовать файлы .LNK для исполнения команд PowerShell. Ранее атаки производились в основном через макросы в MicrosoftOffice (которые с апреля по умолчанию отключены).

Как отметили эксперты компании ESET, Emotet на данный момент атакует в основном пользователей в Японии, Италии и Мексике. Это, впрочем, не значит, что другие страны в безопасности.

«Приходится констатировать, что такое взаимовыгодное партнерство между отдельными ботнетами делает почти бесполезной все эти масштабные и дорогостоящие операции против них, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Если один ботнет можно восстановить за счет другого, это означает, что рубить под корень нужно их обоих разом, а это совсем иной уровень сложности, чем борьба только с одной вредоносной сетью. Единственным рабочим вариантом борьбы с ботнетами остается регулярная проверка устройств, которые с наибольшей вероятностью могут быть атакованы ботнетами».

Роман Георгиев

Поделиться

Короткая ссылка