Исследователи из TrendMicro сообщили о новой вредоносной кампании, в рамках которой злоумышленики распостраняют банковский троян Emotet. Впервые вредоносное ПО Emotet было обнаружено в 2014 году. Затем оно исчезло из поля зрения, но в августе 2017 года была зафиксирована повышенная активность новых разновидностей вредоноса (TSPY_EMOTET.AUSJLA, TSPY_EMOTET.SMD3, TSPY_EMOTET.AUSJKW, TSPY_EMOTET.AUSJKV), способных загружать различные типы вредоносных модулей на целевую систему.
В качестве возможных причин возвращения Emotet исследователи называют заинтересованность злоумышленников в новых регионах и отраслях. Хотя предыдущие варианты Emotet были нацелены преимущественно на банковский сектор, в этот раз авторы вредоносного ПО расширили поле деятельности. Злоумышленники атаковали компании из различных отраслей, включая обрабатывающую, пищевую промышленность и область здравоохранения.
Основными целевыми регионами являются США, Великобритания и Канада. При этом в США было зафиксировано 58% всех обнаруженных случаев заражения, на долю Великобритании и Канады пришлось 12% и 8% соответственно.
Троян распостраняется несколькими способами, в основом через спам-рассылку, замаскированную под счета или уведомления о подтверждении оплаты. В теле письма содержится вредоносная ссылка, при переходе по которой загружается документ с вредоносным макросом. После активации макрос исполняет команду Powershell, загружающую троян Emotet.
Оказавшись на системе, Emotet загружает свои копии в системные папки и регистрируется как системная служба. Он также добавляет записи в реестр Windows для обеспечения автоматического исполнения при каждой загрузке системы. Затем вредоносное ПО приступает к сбору информации о системе и данных банковских учетных записей, обновляется до последней версии и загружает дополнительное вредоносное ПО.

Источник: securitylab.ru