Троянец-банкир Emotet увильнул от антиспуфинга и атакует снова

Опубликовано at 14:32
61 0

Банковский троян-ветеран Emotet, заставляющий нервничать корпорации еще с 2014 года, вновь сменил кожу. Как сообщает Bleeping Computer, операторы вируса доработали спамерские методы, чтобы обойти недавние рекомендации US-CERT по защите от этого трояна. Теперь злоумышленники подменяют доверенные сертификаты почтовых серверов, чтобы доставлять вредоносное ПО в обход защитных систем.

В июле эксперты US-CERT сообщали, что каждая атака Emotet на государственные организации США обходится в сотни тысяч долларов и даже до $1 миллиона. Специалисты также разработали меры, которые призваны помешать поражать новых жертв по электронной почте — преступники используют этот канал как для распространения самого Emotet, так и для рассылки побочного вредоносного ПО.

Для защиты от троянца системным администраторам предлагалось внедрить антиспуфинговый механизм аутентификации на базе доменных имен — Domain-based Message Authentication, Reporting and Conformance, или DMARC. Лежащая в его основе технология доменных ключей (DomainKeys Identified Mail, DKIM) помогает подтвердить легитимность электронных писем.

По стандартам DKIM, в заголовке электронных сообщений должны быть прописаны инструкции для сервера-адресата и публичный ключ сертификата DKIM, по которым можно найти ключ безопасности на домене, откуда пришло письмо. Прошло всего несколько месяцев, и операторы Emotet научились использовать технику перехвата доменов (domain hijacking), которая перенаправляет запросы сервера по адресам под контролем злоумышленников. Расположенные там ключи создают впечатление легитимности отправителя, и троян проникает на компьютер незамеченным. Как с этим бороться эксперты пока не придумали, но все равно рекомендуют администраторам внедрить DMARC в свои системы.

Ранее в июле эксперты по кибербезопасности сообщили о мутациях Emotet, который когда-то начинал чисто с кражи банковских данных, но теперь получил функции дроппера и стал поддерживать сторонние библиотеки. Если изначально зловред распространялся через спам, то следующие поколения Emotet научились уже самостоятельно двигаться по корпоративной инфраструктуре, подбирая пароли и заражая компьютеры жертв без каких-либо действий с их стороны. Разработчики вируса работают, не покладая рук, и постоянно добавляют в код новые функции для автоматизации кражи денег и противодействия антивирусным системам. В своих последних воплощениях Emotet переквалифицировался в дроппер для других банковских троянов, например, IcedID. Таким образом, в своем нынешнем виде Emotet представляет собой «решение полного цикла по доставке зловредного ПО» (с) Symantec. На котором кому-то можно неплохо заработать.

Подписываемся, следим @CyberAgency

Related Post

Британия усилила контроль над киберугрозами национальной безопасности

Опубликовано - 25.12.2017 0
Британские разведывательные службы обнаружили более 750 кибератак, нацеленных на инфраструктуру и финансовую систему страны. По словам главы Национального центра кибербезопасности…

Роскомнадзор заблокировал почти 4 тыс. адресов Amazon AWS за призывы к массовым беспорядкам

Опубликовано - 12.03.2018 0
Блокировка 3926 страниц была осуществлена на основании решения Генпрокуратуры от 4 декабря 2015 года! То есть, решение было принято больше…

Добавить комментарий