Emotet Trojan – uwaga na fałszywy instalator Office

Krążący w sieci od 2014 roku i bardzo dynamicznie ewoluujący trojan Emotet, wspierany przez pokaźny botnet, został właśnie namierzony w nowej kampanii cyberprzestępców.

Nowy szablon został wykryty przez badacza ps66uk publikującego swoje odkrycia na Twitterze.

Mamy tu do czynienia z podszywającym się pod instalator Office wirusem, który w momencie kliknięcia we „włącz edytowanie” i „włącz treści” (o które instalator prosi by mógł zakończyć proces fałszywej aktywacji MS Office) uaktywnia wewnętrzne makra, które uruchamiają powershell i rozpoczynają proces ściągania trojana na komputer ofiary. Następnie przejmie kontrolę nad listą kontaktów programu pocztowego i będzie za jego pomocą rozsyłał zainfekowane maile. Botnet bowiem przede wszystkim rozprzestrzenia się drogą poczty elektronicznej.

Emotet w ostatnim czasie służył także do instalacji innych złośliwych oprogramowań. Poza wykradaniem danych, pozwala na przejmowanie sesji bankowych, co może doprowadzić do przelania środków na konto przestępców. Jako, że botnet powiązany z trojanem mocno uaktywnił się w Polsce, ofiarami jego ostatnio padły serwisy PKO Leasing i mFinanse.

Dodatkowo standardowy Windows Defender ma spory problem z wykrywaniem kolejnych wersji tego trojana. O tym jak ciekawie się zmieniał, opisał jakiś czas temu portal niebezpiecznik.pl.

Informacje zebrał i opisał: Karol Mondry

Źródła:

wikipedia.org
niebezpiecznik.pl
tech.wp.pl
twitter.com
bleepingcomputer.com
pancernik.it
blog.pancernik.it