Все
Истории
Дизайн
Код
Геймдев
Бизнес
Маркетинг
Управление
Кино
Музыка
Проектная фотография
Развитие
Здоровье
Деньги
Образование
EdTech
Корп. обучение
Блог Skillbox
Глоссарий
Спецпроекты
Профориентация
Новый подвид вируса Emotet крадёт данные банковских карт прямо из Google Chrome
Количество жертв этого вируса с марта выросло на 11 тысяч процентов, или в 100 раз.
Что случилось
Специалисты из Proofpoint рассказали, что популярный фишинговый вирус Emotet получил обновление. В него добавили модуль, который позволяет скрытно получать информацию о банковских картах, привязанных к браузеру Google Chrome.
Как вирус работает
Он обычно распространяется через email-рассылки. Пользователь получает фишинговое письмо, в котором есть вложенный заражённый файл. Если открыть его, то вирус получит доступ к системе и сможет загрузить дополнительные модули через command-and-control-сервер (C2) для дальнейшей своей работы.
Вот список модулей, которые Emotet может использовать:
- спам модуль — рассылка email-писем со своими клонами;
- модуль кражи конфиденциальных данных — собирает информацию о кредитных картах из браузеров и почтовых клиентов, используя инструменты NirSoft, Mail PassView и WebBrowser PassView;
- распределительный модуль — пытается войти в аккаунты пользователя в приложениях, притворяясь самим пользователем, а если не получается, то применяет метод грубой силы (brute force) для взлома;
- email-модуль — собирает всю информацию о письмах пользователя и отправляет на удалённый сервер;
- модуль «записной книжки» — устанавливает связь между отправителем и получателем email-писем, а также сканирует их контент и вложения и собирает данные для дальнейшей спам-рассылки.
В апреле 2022 года Emotet стал самым популярным вирусом, затронув 6% компаний по всему миру. Вирус обзавёлся такими инструментами доставки, как OneDrive URL и PowerShell in .LNK-вложения, чтобы обходить макроограничения в системах Microsoft.
Кроме того, исследователи из CyberArk показали новый способ, как хакеры могут украсть конфиденциальные данные прямо из памяти браузеров на движке Chromium. А помимо них вирус может получить доступ к куки-файлам, чтобы использовать данные из сессии для входа в защищённые двухфакторной аутентификацией аккаунты.
Сколько заражённых
Emotet достиг своего пика в марте 2022 года — 30 тысяч фишинговых писем. При этом в феврале 2022-го их количество дошло до 3 тысяч. А после выхода нового модуля в апреле 2022 года число писем увеличилось в 100 раз — до 30 млн.
Как защититься
Специалисты по кибербезопасности из Kaspersky рекомендуют придерживаться следующих правил, чтобы не стать жертвой вируса Emotet:
- проверяйте почтовый адрес отправителя — большинство писем с вирусами приходят со странных адресов — например, amazondeals@tX94002222aitx2.com;
- будьте внимательны к письмам с пометкой «Срочно» — спамеры хотят отвлечь внимание пользователей, чтобы они, не задумываясь, скачали файл или перешли на сайт;
- используйте программы, которые умеют распознавать фишинговые письма, — например, Kaspersky Endpoint Security или любые другие, проверенные пользователями и экспертами.
