Emotet, SFX-архивы, два вредоноса: самораспаковывающиеся RAR-архивы стали оружием в руках операторов Emotet

Пн 24 Октябрь 2022 07:55

Печально известный ботнет Emotet был связан с новой волной спам-кампаний, которые используют защищенные паролем RAR-архивы для заражения жертв CoinMiner и Quasar RAT. Об этом сообщили исследователи из Trustwave SpiderLabs, которые в ходе расследования кампаний Emotet обнаружили в электронном письме ZIP-файл приманку, содержащую самораспаковывающийся архив (SFX), из которого распаковывается другой архив.

Обычно, чтобы такая фишинговая атака прошла успешно, нужно убедить жертву открыть вложение. Но специалисты рассказали, что злоумышленники решили эту проблему, используя bat-файл для автоматического ввода пароля к архиву с полезной нагрузкой.

Первый SFX-архив обычно маскируется под PDF или Excel-файл, чтобы не вызвать подозрений у жертвы. Внутри него находятся три компонента:

SFX RAR-архив с вредоносом;

bat-файл;

Отвлекающий внимание PDF-файл или изображение;

В отчете исследователей говорится, что выполнение bat-файла приводит к развертыванию вредоносного ПО, упакованного в SFX RAR-архив. Вредоносы распаковываются из архива благодаря батнику, который указывает пароль архива и папку для распаковки, в которую будет извлечена полезная нагрузка. Кроме того, bat-файл параллельно запускает команду, открывающую изображение или PDF.

Все это приводит к заражению жертвы криптомайнером с функционалом инфостилера под названием CoinMiner или Quasar RAT, трояна с удаленным исходным кодом, написанном на .NET.

По словам исследователей из компании Trustwave, злоумышленники все чаще используют упакованные в ZIP-архивы вредоносы, причем около 96% из них распространяет ботнет Emotet.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 254 дня 13 часов 41 минута 51 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.