"Възкръсналият" Emotet вече краде банкови карти от браузъра Chrome

PixaBay.com
deepanker70

"Възкръсналият" Emotet вече краде банкови карти от браузъра Chrome

Александър Главчев
536 прочитания

PixaBay.com

© deepanker70


Зловредното приложение Emotet вече се опитва да извлича данни за банкови карти от потребителски профили в браузъра Google Chrome, съобщиха изследователи от компанията Proofpoint. Допълва се, че съответният модул е пуснат на 6 юни 2022 г.

За целта Emotet се опитва да зарази жертвите си с новия зловреден модул, който събира данни като имена, срокове на валидност и номер на картата и т.н. Според специалистите любопитно е, че за управлението му се използва един набор от командни и контролни сървъри, а откраднатите данни се качват на други сървъри.

"За наша изненада зловредният модул атакува само браузъра Chrome. След като се съберат данните за разплащателната карта, те се изпращат до контролни сървъри, различни от тези, които управляват заразяването", се казва в проучването Proofpoint.

Първата итерация на Emotet беше открита през 2014 г. По това време това беше банков троянец, но постепенно се превърна в ботнет, който беше използван от APT групи за разпространение на допълнителен зловреден софтуер. Функциите на Emotet позволяваха на нападателите да разузнават мрежи и да компрометират нови устройства.

Emotet също така може да изтегля други троянци Qbot и Trickbot на компрометирани машини, които от своя страна биха могли да инсталират "маяци" (beacon) като Cobalt Strike за това, че машината е успешно заразена с цел извършване на атака, или да изтеглят криптовируси, сред които Ryuk и Conti.

В началото на 2021 г. в резултат на международна операция инфраструктурата на Emotet беше унищожена, а двама от предполагаемите ѝ оператори бяха арестувани. Германските правоприлагащи органи пък обявиха, че са използвали инфраструктурата на ботнета срещу самия него, разпространявайки модул, който е унищожил зловредния софтуер в крайните точки.

През ноември 2021 г. обаче бе засечено възстановяване на ботнета. Той започна да се разпространява, използвайки инфраструктурата на TrickBot.

През април 2022 г. Emotet се активира допълнително и започна активно да променя начина, по който работи. Ботнетът премина към 64-битови модули и започна да използва .LNK файлове за изпълнение на команди на PowerShell. Преди това атаките се извършваха главно чрез макроси в Microsoft Office (които са деактивирани по подразбиране от април т.г.).

По данни на ESET в момента Emotet атакува предимно потребители в Япония, Италия и Мексико. Това, разбира се, не означава, че другите страни са в безопасност.

Зловредното приложение Emotet вече се опитва да извлича данни за банкови карти от потребителски профили в браузъра Google Chrome, съобщиха изследователи от компанията Proofpoint. Допълва се, че съответният модул е пуснат на 6 юни 2022 г.

За целта Emotet се опитва да зарази жертвите си с новия зловреден модул, който събира данни като имена, срокове на валидност и номер на картата и т.н. Според специалистите любопитно е, че за управлението му се използва един набор от командни и контролни сървъри, а откраднатите данни се качват на други сървъри.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК