Вирус Emotet снова похищает деньги клиентов банков

Как заявляет «Лаборатория Касперского», в сети появилась новая модификация вируса Emotet, который поражает аккаунты клиентов банков Европы.

Первый раз троян Emotet был обнаружен летом прошлого года – он атаковал клиентов банковских учреждений Австрии и Германии. В конце 2014 года активность зловреда заметно понизилась, и он пропал из поля зрения, но с недавних пор сообщения о его преступной деятельности возобновились.

Для проникновения к данным о финансовом состоянии жертвы программа, для которой характерна сложная модульная архитектура, использует широкий ряд современных технологических возможностей. В том числе и метод автоматического хищения денежных средств с банковских счетов. Обновленные версии отличаются способностью более искусно скрывать следы своей деятельности.

Распространение вредоносной программы происходит при рассылке писем со спамом на немецком языке. Они содержат вредоносные вложения или ссылки к загрузчику. В названии файла содержится огромное количество символов – с целью сокрытия расширения «exe». В проводнике платформы Windows название отображается не полностью, и пользователи автоматически загружают зараженный файл. Чтобы антивирусные программы не смогли идентифицировать вирусную природу приложения, его часть загружается в зашифрованном состоянии отдельным загрузчиком.

При внимательном рассмотрении кода Emotet было выявлено, что его создатели отлично говорят на русском языке. Отсутствие атак в рунете свидетельствует о том, что мошенники стремятся остаться незамеченными в этой зоне. Последняя заметная атака была направлена на клиентов швейцарских банков.

В состав вредоносной программы входят блоки для рассылки спама, модули организации DDoS-атак и похищения учетных записей с клиентского email. Основная задача Emotet – похищение денежных средств – реализуется с помощью модуля преобразования веб-трафика. В процессе заражения происходит внедрение специального кода в страницы системы онлайн-банкинга. Происходит автоматический перевод денег, в процессе которого самый сложный и непреодолимый шаг для преступников – систему двухфакторной аутентификации – проходит сам владелец, поддавшись на реализуемые преступниками схемы социальной инженерии. Таким образом он лишается собственных денег и неосознанно распространяет вирус между своими контактами в адресной книге.