Создатели малвари Emotet возобновили фишинговую кампанию и исправили ошибку, которая препятствовала заражению машин жертв при открытии вредоносных вложений из писем.

Издание Bleeping Computer сообщает, что в прошлую пятницу распространители Emotet запустили новую спам-кампанию, в рамках которой малварь распространяется через защищенные паролем файлы ZIP, содержащие файлы Windows LNK, которые замаскированы под документы Word.

Если пользователь кликает на такой ярлык, выполняется команда, которая ищет в файле ярлыка определенную строку, содержащую скрипт Visual Basic, а затем найденный код добавляется в новый файл VBS, и тот выполняется.

Однако эта команда содержала ошибку и использовала статическое имя ярлыка Password2.doc.lnk, хотя фактическое имя прикрепленного к письму файла отличалось и могло, например, представлять собой конструкцию вида "INVOICE 2022-04-22_1033, USA.doc".

Ошибка привела к сбою в работе малвари, так как файл Password2.doc.lnk не существовал и файл VBS не создавался.

Первыми эту проблему обнаружили эксперты из исследовательской группы Cryptolaemus, которые еще в 2018 году объединились ради общей цели: борьбы с Emotet. Исследователи Cryptolaemus сообщили журналистам, что операторы Emotet остановили новую кампанию в ночь с пятницы на субботу, когда обнаружили баг, предотвращающий заражение машин пользователей.

Увы, много времени на устранение проблемы хакерам не понадобилось: вчера операторы Emotet исправили ошибку и снова начали рассылать пользователям спам с вредоносными вложениями, защищенными паролями файлами ZIP и замаскированными ярлыками. Теперь при выполнении команды ярлыки ссылаются на коррективные имена файлов, что позволяет создавать необходимые для атак файлы VBS, а затем загружать и устанавливать Emotet на устройства жертв.

По информации ИБ-экспертов из компании Cofense, известны следующие имена вложений, использующиеся в текущих кампаниях Emotet:

• form.zip
• Form.zip
• Electronic form.zip
• PO 04252022.zip
• Form - Apr 25, 2022.zip
• Payment Status.zip
• BANK TRANSFER COPY.zip
• Transaction.zip
• ACH form.zip
• ACH payment info.zip

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии