Троянец-банкир Emotet увильнул от антиспуфинга и атакует снова

Опубликовано at 14:32
148 0

Банковский троян-ветеран Emotet, заставляющий нервничать корпорации еще с 2014 года, вновь сменил кожу. Как сообщает Bleeping Computer, операторы вируса доработали спамерские методы, чтобы обойти недавние рекомендации US-CERT по защите от этого трояна. Теперь злоумышленники подменяют доверенные сертификаты почтовых серверов, чтобы доставлять вредоносное ПО в обход защитных систем.

В июле эксперты US-CERT сообщали, что каждая атака Emotet на государственные организации США обходится в сотни тысяч долларов и даже до $1 миллиона. Специалисты также разработали меры, которые призваны помешать поражать новых жертв по электронной почте — преступники используют этот канал как для распространения самого Emotet, так и для рассылки побочного вредоносного ПО.

Для защиты от троянца системным администраторам предлагалось внедрить антиспуфинговый механизм аутентификации на базе доменных имен — Domain-based Message Authentication, Reporting and Conformance, или DMARC. Лежащая в его основе технология доменных ключей (DomainKeys Identified Mail, DKIM) помогает подтвердить легитимность электронных писем.

По стандартам DKIM, в заголовке электронных сообщений должны быть прописаны инструкции для сервера-адресата и публичный ключ сертификата DKIM, по которым можно найти ключ безопасности на домене, откуда пришло письмо. Прошло всего несколько месяцев, и операторы Emotet научились использовать технику перехвата доменов (domain hijacking), которая перенаправляет запросы сервера по адресам под контролем злоумышленников. Расположенные там ключи создают впечатление легитимности отправителя, и троян проникает на компьютер незамеченным. Как с этим бороться эксперты пока не придумали, но все равно рекомендуют администраторам внедрить DMARC в свои системы.

Ранее в июле эксперты по кибербезопасности сообщили о мутациях Emotet, который когда-то начинал чисто с кражи банковских данных, но теперь получил функции дроппера и стал поддерживать сторонние библиотеки. Если изначально зловред распространялся через спам, то следующие поколения Emotet научились уже самостоятельно двигаться по корпоративной инфраструктуре, подбирая пароли и заражая компьютеры жертв без каких-либо действий с их стороны. Разработчики вируса работают, не покладая рук, и постоянно добавляют в код новые функции для автоматизации кражи денег и противодействия антивирусным системам. В своих последних воплощениях Emotet переквалифицировался в дроппер для других банковских троянов, например, IcedID. Таким образом, в своем нынешнем виде Emotet представляет собой «решение полного цикла по доставке зловредного ПО» (с) Symantec. На котором кому-то можно неплохо заработать.

Подписываемся, следим @CyberAgency

Related Post

Компания по кибербезопасности Verisign хочет использовать блокчейн

Опубликовано - 27.10.2017 0
Компания Verisign, одна из старейших фирм в области кибербезопасности, изучает технологии в области блокчейн. Согласно заявлению на патент, опубликованному Бюро…

Глава сбербанка будет курировать появление российской криптовалюты?

Опубликовано - 16.10.2017 0
Сегодняшний доклад Агентства Кибербезопасности «Скрипторубль» оценили в «Фонтанке». Вот статья-комментарий по поводу сбывающихся предсказаний наших экспертов http://m.fontanka.ru/2017/10/16/065/

Добавить комментарий