Ботнет Emotet теперь заражает потенциальных жертв вредоносным модулем для похищения данных кредитных карт из профилей пользователей Google Chrome. Похитив данные (имя и фамилия держателя карты, дата истечения срока действия, номер), вредонос отправляет их на сторонние C&C-серверы, не относящиеся к инфостилеру.
«6 июня эксперты Proofpoint обнаружили новый модуль Emotet, доставляемый ботнетом E4. К нашему удивлению, это оказался инфостилер для похищения данных банковских карт, атакующий исключительно пользователей браузера Chrome. Собранные данные отправляются на другой C&C-сервер, не тот, с которого распространяется загрузчик модуля», – сообщили специалисты Proofpoint Threat Insights порталу BleepingComputer.
Это стало происходить после увеличения активности Emotet в апреле нынешнего года и перехода на 64-битные модули.
Спустя неделю для выполнения команд PowerShell с целью заражения атакуемых устройств вредонос начал использовать файлы LNK, отказавшись от макросов Microsoft Office, отключенных по умолчанию с начала апреля 2022 года.
Вредоносное ПО Emotet было создано в 2014 году и тогда использовалось для распространения банковских троянов. Затем оно эволюционировало в ботнет, используемый группировкой TA542 (Mummy Spider), для доставки полезной нагрузки второго этапа. Кроме того, Emotet позволяет похищать пользовательские данные, проводить разведку в скомпрометированной сети и осуществлять боковое перемещение к уязвимым устройствам.
Emotet также известен доставкой на скомпрометированные системы вредоносного ПО Qbot и Trickbot, использующихся для развертывания дополнительного ПО, включая биконы Cobalt Strike и вымогательское ПО Ryuk и Conti .
В начале 2021 года инфраструктура Emotet была отключена в ходе правоохранительной операции. Немецкие правоохранительные органы использовали эту инфраструктуру против самого же ботнета – распространяли через нее на зараженные системы модуль, удаляющий вредонос.
Ботнет вернулся в ноябре 2021 года, используя уже существующую инфраструктуру TrickBot.
Источник: SecurityLab