С ботнета Emotet раздаются майнер и RAT-троян во вложенных SFX-архивах

С ботнета Emotet раздаются майнер и RAT-троян во вложенных SFX-архивах

С ботнета Emotet раздаются майнер и RAT-троян во вложенных SFX-архивах

Эксперты Trustwave SpiderLabs зафиксировали новую волну вредоносного спама, исходящего с ботнета Emotet. В качестве вложений злоумышленники используют составные самораспаковывающиеся архивы; целевая полезная нагрузка запаролена, но разблокировка и запуск участия пользователя не требуют, эти задачи выполняются автоматически с помощью bat-скрипта.

Поддельные письма предлагают получателю ознакомиться с новым счетом-фактурой, открыв прикрепленный файл ZIP или ISO. Как оказалось, вложение содержит архивный файл RAR SFX, в который заключен еще один самораспаковывающийся RAR, но уже под паролем.

 

Первый вложенный SFX для прикрытия использует иконку PDF или Excel и содержит три файла: контейнер полезной нагрузки (второй RAR SFX), запускающий его пакетный скрипт и маскировочный PDF-документ либо изображение. Все компоненты распаковываются в папку %AppData% с перезаписью существующих файлов, а затем запускаются на исполнение.

Установку полезной нагрузки, сокрытой во втором RAR SFX, обеспечивает командный файл (.bat), в котором определены пароль и папка для сохранения файла. Сценарий также запускает команду на отображение картинки-приманки.

 

В более новых образцах вредоносных вложений маскировочная графика и PDF отсутствуют, а запароленный RAR SFX распаковывается в папку %temp%, но атака проводится таким же образом — за один клик.

Вся исполняемая полезная нагрузка в рамках данной имейл-кампании скомпилирована с помощью .NET и использует opensource-обфускатор ConfuserEX. Исследователям удалось идентифицировать CoinMiner, умеющий воровать данные из браузеров и Microsoft Outlook, а также Quasar RAT — трояна с открытым исходным кодом, опубликованным на GitHub.

Последнее время в Trustwave наблюдают рост количества угроз, запакованных в ZIP под паролем. Порядка 96% из них распространяются посредством рассылок с ботнета Emotet.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сенаторы предложили меры по дальнейшей легализации белых хакеров

В Совете Федерации предложили полностью узаконить «инициативную» форму сотрудничества исследователей с владельцами информационных систем. Эта модель позволит специалистам выявлять уязвимости и уведомлять о них без риска юридического преследования.

Перечень предложений по легализации деятельности «белых хакеров» содержится в письме первого заместителя председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Артема Шейкина заместителю министра цифрового развития, связи и массовых коммуникаций Ивану Лебедеву.

Документ, датированный 25 марта, оказался в распоряжении «Коммерсанта».

В частности, он предлагает обязать операторов и владельцев информационных систем, включая объекты критической информационной инфраструктуры, размещать специальную форму для сообщений об обнаруженных уязвимостях. Для идентификации исследователей сенатор предлагает использовать Единую систему идентификации и аутентификации (ЕСИА).

Кроме того, предлагается официально признать возможность «инициативной деятельности» по выявлению уязвимостей с последующей передачей информации правообладателям. Такая форма взаимодействия должна быть закреплена наряду с двусторонними и трехсторонними моделями сотрудничества (например, через платформы bug bounty, где заказчик привлекает исследователей).

В Госдуме уже находится на рассмотрении законопроект о легализации деятельности «белых хакеров». В октябре 2024 года он прошёл первое чтение, но с тех пор не обсуждался.

В Минцифры сообщили, что изучают предложенные инициативы. Ведомство выразило заинтересованность в правовом регулировании деятельности исследователей, чтобы обеспечить оценку защищённости систем и минимизировать потенциальные риски.

Тем не менее многие вопросы пока остаются неурегулированными.

«Информация об ошибке есть, договора нет: нужно сообщить об угрозе, но реакция получателя может быть самой разной — вплоть до уголовного преследования исследователя», — приводит пример независимый эксперт по кибербезопасности Андрей Брызгин.

Создание реестра специалистов вызвало неоднозначную реакцию в профессиональном сообществе. Руководитель департамента аудита и консалтинга F6 Евгений Янов считает, что это повысит порог входа в профессию и сделает её менее привлекательной. Основатель BugBounty.ru Лука Сафонов полагает, что специалисты из такого реестра рискуют попасть в санкционные списки. В то же время директор по развитию сервисов кибербезопасности компании «Бастион» Алексей Гришин уверен, что реестр поможет формировать условия для работы специалистов и оценивать их возможности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru