Новый подвид вируса Emotet крадёт данные банковских карт прямо из Google Chrome

Количество жертв этого вируса с марта выросло на 11 тысяч процентов, или в 100 раз.

Дмитрий Зверев

Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.

Что случилось

Специалисты из Proofpoint рассказали, что популярный фишинговый вирус Emotet получил обновление. В него добавили модуль, который позволяет скрытно получать информацию о банковских картах, привязанных к браузеру Google Chrome.

Как вирус работает

Он обычно распространяется через email-рассылки. Пользователь получает фишинговое письмо, в котором есть вложенный заражённый файл. Если открыть его, то вирус получит доступ к системе и сможет загрузить дополнительные модули через command-and-control-сервер (C2) для дальнейшей своей работы.

Вот список модулей, которые Emotet может использовать:

спам модуль — рассылка email-писем со своими клонами;
модуль кражи конфиденциальных данных — собирает информацию о кредитных картах из браузеров и почтовых клиентов, используя инструменты NirSoft, Mail PassView и WebBrowser PassView;
распределительный модуль — пытается войти в аккаунты пользователя в приложениях, притворяясь самим пользователем, а если не получается, то применяет метод грубой силы (brute force) для взлома;
email-модуль — собирает всю информацию о письмах пользователя и отправляет на удалённый сервер;
модуль «записной книжки» — устанавливает связь между отправителем и получателем email-писем, а также сканирует их контент и вложения и собирает данные для дальнейшей спам-рассылки.

В апреле 2022 года Emotet стал самым популярным вирусом, затронув 6% компаний по всему миру. Вирус обзавёлся такими инструментами доставки, как OneDrive URL и PowerShell in .LNK-вложения, чтобы обходить макроограничения в системах Microsoft.

Кроме того, исследователи из CyberArk показали новый способ, как хакеры могут украсть конфиденциальные данные прямо из памяти браузеров на движке Chromium. А помимо них вирус может получить доступ к куки-файлам, чтобы использовать данные из сессии для входа в защищённые двухфакторной аутентификацией аккаунты.

Новый способ кражи данных из памяти браузера. Источник: thehackernews

Сколько заражённых

Emotet достиг своего пика в марте 2022 года — 30 тысяч фишинговых писем. При этом в феврале 2022-го их количество дошло до 3 тысяч. А после выхода нового модуля в апреле 2022 года число писем увеличилось в 100 раз — до 30 млн.

Количество фишинговых писем за конец 2021-го и начало 2022 года. Источник: thehackernews

Как защититься

Специалисты по кибербезопасности из Kaspersky рекомендуют придерживаться следующих правил, чтобы не стать жертвой вируса Emotet:

проверяйте почтовый адрес отправителя — большинство писем с вирусами приходят со странных адресов — например, amazondeals@tX94002222aitx2.com;
будьте внимательны к письмам с пометкой «Срочно» — спамеры хотят отвлечь внимание пользователей, чтобы они, не задумываясь, скачали файл или перешли на сайт;
используйте программы, которые умеют распознавать фишинговые письма, — например, Kaspersky Endpoint Security или любые другие, проверенные пользователями и экспертами.

Читайте также: