Злоумышленники рассылают вредоносное ПО через старую переписку

Киберпреступная группировка, стоящая за вредоносным ПО Emotet, взяла на вооружение тактику, ранее использовавшуюся только «правительственными хакерами».

Злоумышленники внедряются в ветку старой электронной переписки и добавляют ссылки на вредоносные файлы. Один из участников переписки получает письмо якобы от своего прежнего собеседника, но на самом деле его источником является сервер Emotet. В начало сообщения киберпреступники добавляют ссылку на вредоносный файл или прикрепляют вредоносный документ к одному из писем в ветке. Сама переписка при этом остается нетронутой.

Техника внедрения вредоносного ПО в старую переписку была описана еще в октябре 2017 года исследователями компании Palo Alto Networks. Тогда ее использовали киберпреступники, работающие на правительство КНДР. Однако для заражения старой переписки северокорейцы взламывали электронный ящик каждой жертвы по отдельности. В случае с Emotet киберпреступники используют учетные записи, массово взломанные ими еще в октябре прошлого года.

Как сообщают специалисты Minerva Labs, группировка начала экспериментировать с распространением спама через ветки старой переписки в прошлом месяце. Тем не менее, массовые заражения начались на прошлой неделе, отмечают эксперты компаний Cofense и Kryptos Logic и исследователь безопасности Маркус Хатчинс (Marcus Hutchins), также известный как MalwareTech.

В настоящее время киберпреступники используют переписки, похищенные до ноября 2018 года, но в дальнейших атаках они перейдут к более новым веткам, уверены эксперты. Пользователи, недавно получившие ответ на одно из своих старых писем, рискуют стать жертвами Emotet. Более того, их системы или системы собеседников наверняка уже были заражены Emotet раньше.

Источник: Securitylab