Ранее в этом месяце ботнет Emotet, не подававший «признаков жизни» с февраля 2020 года, вернулся в строй с новой спам-кампанией. Понаблюдав за малварью, ИБ-специалисты сообщили, что ботнет сменил основную полезную нагрузку и теперь распространяет банковский троян QakBot (QBot), который пришел на смену обычному для ботнета TrickBot. Хотя работу ботнета пытаются саботировать неизвестные "доброжелатели", подменяя пейлоады фалами GIF, Emotet все же стал одной из самых активных угроз последних недель.
TOP10 last week's threats by uploads
⬆️ #Emotet 1371 (315) ☠️
⬆️ #njRAT 150 (146)
⬇️ #AgentTesla 118 (176)
⬇️ #FormBook 105 (121)
⬇️ #NanoCore 75 (84)
⬆️ #AsyncRAT 61 (49)
⬇️ #LokiBot 57 (67)
⬇️ #Qealler 55 (106)
⬆️ #Masslogger 44 (38)
⬇️ #Remcos 42 (68)https://t.co/98nRpXOxWw— ANY.RUN (@anyrun_app) July 27, 2020
Теперь издание Bleeping Computer, со ссылкой на специалистов Binary Defense, сообщает, что вредонос обзавелся новой функциональностью: начал похищать списки контактов, содержимое и вложения из писем своих жертв, чтобы рассылаемый спам выглядел как можно аутентичнее для следующих получателей. Эту информацию подтвердил известный и ИБ-исследователь Маркус Хатчинс (он же MalwareTech), который отмечает, что модуль для хищения данных появился у Emotet примерно 13 июня текущего года.
Can confirm Emotet's email stealer module was updated to steal email attachments, as well as email content and contact lists. The additional code was added around June 13th. pic.twitter.com/9xe3lM6qca
— MalwareTech (@MalwareTechBlog) July 28, 2020
Эксперты пишут, что новая тактика позволяет операторам Emotet эффективно использовать перехваченные электронные письма и «включаться» в разговоры пользователей. То есть вредоносный URL-адрес или вложение в итоге будут выглядеть как новые сообщения в уже идущей дискуссии. Причем в отличие от других злоумышленников, операторы Emotet используют не только само «тело» украденных посланий, но и вложения из них, отмечают аналитики компании Cofense.
breaking #emotet news from @CofenseLabs
— Cryptolaemus (@Cryptolaemus1) July 28, 2020
in addition to stolen body text, emails are now including original attachment content to add even more legitimacy.
significant data breach implications, again demonstrating that emotet infections are serious https://t.co/bWbHxGWZK4