Xakep #305. Многошаговые SQL-инъекции
Эксперты компании Proofpoint обнаружили, что у малвари Emotet появился новый модуль, предназначенный для кражи данных и банковских картах, хранящейся в браузере Chrome.
По информации Proofpoint, новый модуль появился 6 июня 2022 года и атакует исключительно Chrome, передавая собранную информацию на управляющие серверы (отличные от тех, которые обычно используют модуль для хищения карт и модуль загрузчика).
Также стоит отметить, что неделю назад Emotet начал использовать файлы ярлыков Windows (.LNK) для выполнения команд PowerShell для заражения систем жертв, отказавшись от макросов Microsoft Office, которые отключены по умолчанию с начала апреля 2022 года.
Напомню, что в январе прошлого года Европол, ФБР и правоохранительные органы многих стран мира, включая Канаду, Нидерланды, Францию, Германию, Литву, Великобританию и Украину, провели масштабную скоординированную операцию по ликвидации Emotet, подготовка к которой длилась два года. Тогда правоохранителям удалось захватить контроль над инфраструктурой ботнета, нарушив ее работу. В итоге преступники лишились возможности использовать взломанные машины, а малварь прекратила распространяться на новые цели.
Однако в конце 2021 года, спустя десять месяцев после этой операции, исследователи вновь обнаружили активность малвари. Оказалось, что другой известный ботнет, TrickBot, помог операторам Emotet встать на ноги, устанавливая малварь Emotet в системы, уже зараженные самим TrickBot.
С тех пор малварь постепенно набирает обороты, и недавно компания ESET сообщила, что в марте и апреле 2022 года количество обнаружений Emotet увеличилось в 100 раз. Аналитики зафиксировали рост более чем на 11 000% в течение первых четырех месяцев года (по сравнению с периодом с сентября по декабрь 2021 года).