Троян Emotet с российскими следами атакует клиентов банков

«Лаборатория Касперского» предупреждает о появлении новых модификаций вредоносной программы Emotet, жертвами которой становятся клиенты европейских банков.

Троян Emotet впервые был замечен летом 2014-го: тогда его мишенью становились клиенты немецких и австрийских банков. Однако в конце прошлого года киберпреступники по какой-то причине решили взять перерыв: командные серверы перестали отвечать зараженным компьютерам и активность зловреда сошла на нет. И вот теперь Emotet снова взялся за дело.

Zuma/Corbis

Программа отличается сложной модульной архитектурой и использует целый набор современных вредоносных технологий, чтобы добраться до финансовых средств жертвы. В арсенал трояна, в частности, входят инструменты автоматической кражи денег с банковских счетов. Новые версии зловреда стали ещё тщательнее маскировать свою деятельность.

Emotet распространяется посредством спам-писем на немецком языке с вредоносными ссылками или вложениями, внутри которых находится загрузчик. При этом файл намеренно имеет очень длинное имя, чтобы скрыть от пользователя расширение «exe» в «Проводнике» Windows, который обычно не отображает на экране название полностью. Также с целью усложнения детектирования антивирусами основная часть трояна скачивается специальным загрузчиком в зашифрованном виде.

Анализ кода Emotet говорит о том, что авторы трояна хорошо владеют русским языком. При этом, однако, злоумышленники сознательно не атакуют пользователей в зоне RU, чтобы остаться незамеченными. К примеру, последняя волна нападений нацелена на клиентов нескольких швейцарских банков.

Троян содержит модули для отправки спама, организации DDoS-атак и воровства учётных записей электронной почты. Но свою главную задачу — кражу денег — Emotet выполняет благодаря модулю модификации веб-трафика. Внедряя специальный код в страницы системы онлайн-банкинга, преступники автоматически инициируют перевод средств, а так как обойти систему двухфакторной аутентификации невозможно, троян привлекает к участию самого пользователя — для обмана жертвы применяются убедительные схемы социальной инженерии. В результате пользователь не только лишается собственных средств, но также распространяет трояна по контактам своей адресной книги.