Троянец-банкир Emotet увильнул от антиспуфинга и атакует снова

Опубликовано at 14:32
60 0

Банковский троян-ветеран Emotet, заставляющий нервничать корпорации еще с 2014 года, вновь сменил кожу. Как сообщает Bleeping Computer, операторы вируса доработали спамерские методы, чтобы обойти недавние рекомендации US-CERT по защите от этого трояна. Теперь злоумышленники подменяют доверенные сертификаты почтовых серверов, чтобы доставлять вредоносное ПО в обход защитных систем.

В июле эксперты US-CERT сообщали, что каждая атака Emotet на государственные организации США обходится в сотни тысяч долларов и даже до $1 миллиона. Специалисты также разработали меры, которые призваны помешать поражать новых жертв по электронной почте — преступники используют этот канал как для распространения самого Emotet, так и для рассылки побочного вредоносного ПО.

Для защиты от троянца системным администраторам предлагалось внедрить антиспуфинговый механизм аутентификации на базе доменных имен — Domain-based Message Authentication, Reporting and Conformance, или DMARC. Лежащая в его основе технология доменных ключей (DomainKeys Identified Mail, DKIM) помогает подтвердить легитимность электронных писем.

По стандартам DKIM, в заголовке электронных сообщений должны быть прописаны инструкции для сервера-адресата и публичный ключ сертификата DKIM, по которым можно найти ключ безопасности на домене, откуда пришло письмо. Прошло всего несколько месяцев, и операторы Emotet научились использовать технику перехвата доменов (domain hijacking), которая перенаправляет запросы сервера по адресам под контролем злоумышленников. Расположенные там ключи создают впечатление легитимности отправителя, и троян проникает на компьютер незамеченным. Как с этим бороться эксперты пока не придумали, но все равно рекомендуют администраторам внедрить DMARC в свои системы.

Ранее в июле эксперты по кибербезопасности сообщили о мутациях Emotet, который когда-то начинал чисто с кражи банковских данных, но теперь получил функции дроппера и стал поддерживать сторонние библиотеки. Если изначально зловред распространялся через спам, то следующие поколения Emotet научились уже самостоятельно двигаться по корпоративной инфраструктуре, подбирая пароли и заражая компьютеры жертв без каких-либо действий с их стороны. Разработчики вируса работают, не покладая рук, и постоянно добавляют в код новые функции для автоматизации кражи денег и противодействия антивирусным системам. В своих последних воплощениях Emotet переквалифицировался в дроппер для других банковских троянов, например, IcedID. Таким образом, в своем нынешнем виде Emotet представляет собой «решение полного цикла по доставке зловредного ПО» (с) Symantec. На котором кому-то можно неплохо заработать.

Подписываемся, следим @CyberAgency

Related Post

Владельцев мессенджеров обяжут получать лицензию для передачи данных в России

Опубликовано - 16.01.2018 0
Мобильные приложения и мессенджеры должны готовиться к переменам. Их права в области оказания услуг связи будут регулироваться новым IT-кодексом. На…

ФБР вычисляет виртуальных педофилов с помощью торрент-клиентов

Опубликовано - 20.04.2017 0
Федеральное бюро расследований США использует модифицированные торрент-клиенты, чтобы идентифицировать пользователей, загружающих и распространяющих детскую порнографию. Об этом сообщил вчера портал…

Добавить комментарий