В киберпреступной среде ботнет Emotet является одним из крупнейших источников вредоносного спама. Суть работы ботнета состоит в том, чтобы отправить пользователю письмо с вредоносным вложением. Если жертва открывает файл, то ее устройство заражается и тоже начинает рассылать вредоносный спам, без ведома владельца.
Операторы ботнета Emotet постоянно совершенствуют и меняют свою тактику. В недавних рассылках были замечены вредоносные письма, которые приходят пользователям якобы от Центра обновления Windows, в которых говорится, что необходимо срочно обновить MS Office на устройстве – для этого надо открыть вложенный файл и нажать на кнопку «Разрешить редактирование».
После открытия документа запускается макрос, устанавливающий на устройство жертвы вредоносное ПО. Чаще всего операторы Emotet заражают компьютеры пользователей трояном TrickBot.
Чтобы компании по кибербезопасности не смогли «догнать» и «пометить» рассылаемые вредоносные письмам как «спам» или «вредоносные», операторы Emotet постоянно меняют доставки этих писем и вид файловых вложений. Киберпреступники изменяют строки темы электронного письма, текст в теле письма, тип прикрепленного файла, а также содержимое вредоносного вложения.
В течение многих лет своей киберпреступной деятельности операторы ботнета Emotet разработали целую коллекцию вредоносных документов Office, в которых применяется огромный спектр «приманок», позволяющих убедить пользователей нажать на кнопку «Разрешить редактирование».
Наиболее частыми приманками являются:
- в документах говорится, что они были созданы на другой платформе (например, Windows 10 Mobile, Android или iOS), поэтому пользователю необходимо разрешить редактирование, чтобы контент отображался;
- в документах говорится, что они были созданы в более старых версиях Office, и пользователю необходимо разрешить редактирование для отображения содержимого;
- в документах говорится, что они находятся в режиме защищенного просмотра и пользователю предлагается разрешить редактирование (при этом именно механизм защищенного просмотра блокирует макросы и показывает кнопку «Разрешить редактирование»);
- в документах говорится, что они содержат конфиденциальные материалы или материалы для ограниченного распространения, которые видны только после того, как пользователь разрешит редактирование;
- документы, показывающие поддельного мастера активации и утверждающие, что активация Office завершена, и пользователю нужно только щелкнуть «Включить редактирование» для использования Office и многое другое.
Ниже можно ознакомиться с наиболее распространёнными «приманками» ботнета Emotet:
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
