Ботнетот Emotet сега се обидува да инфицира потенцијални жртви со модул за крадење кредитни картички, дизајниран да ги собира информациите од кредитните картички складирани на корисничките профили на Google Chrome.
Откако ќе ги украде информациите од кредитните картички (име, рок на важност, број итн.) злонамерниот софтвер ги испраќа до C2 (command-and-control) серверите, поинакви од тие што ги користи модулот за кражби на Emotet.
“На наше изненадување тоа беше крадец на кредитни картички кој го таргетира само пребарувачот Chrome. Кога ги собра деталите тие потоа беа изнесени до различни C2 сервери на лоадерот на модулот.”
Ова однесување следува после зголемената активност во текот на април и префрлањето на 64-битни модули, како што покажа истражувачката група за безбедност на Cryptolaemus.
Една недела подоцна, Emotet почна да користи Windows документи со кратенки за да извршува команди на PowerShell за инфицирање уредите на жртвите, со што престана да користи commands макро на Microsoft Office, кои почнувајќи од април годинава се оневозможени.
Злонамерниот софтвер Emotet беше развиен и користен во напади како банкарскиот Тројанец уште во 2014 година. Тој беше вклучен во ботнет кој групата TA542 (позната и како Mummy Spider) го користеше за изнудување пари.
Исто така, им овозможува на операторите да крадат кориснички податоци, да вршат разузнавање во пробиени мрежи и странично да се движат до заразените уреди.
Emotet е познат по заразување на компромитираните компјутери на жртвите со Тројанци како Qbot и Trickbot, кои се користат за инсталирање дополнителен злонамерен софтвер, како што е Cobalt Strike и злонамерен софтвер како Ryuk и Conti.
На почетокот на 2021 година инфраструктурата на Emotet беше срушена во интернационална акција,во која исто така беа уапсени и двајца луѓе. Германските власти ја искористија инфраструктурата на Emotnet ротив ботнетот, испорачувајќи модул кој го деинсталираше злонамерниот софтвер од инфицираните уреди на 25 април во 2021 година.
Ботнетот се врати во ноември 2021 година со користење на постојната инфраструктура на TrickBot кога истражувачката група Cryptolaemus на Emotet, компјутерската фирма GData и компанијата за сајбер безбедност Advanced Intel, кои го детектираа злонамерниот софтвер на TrickBot кој се обидувал да инфилтрира Emotet лоадер.
Ова е една од причините зошто некои компаниија оневозможуваат функционалноста за чување на податоците од кредитните картички на пребарувачот заради безбедност, знаејќи дека злонамерниот софтвер на локалните уреди секогаш може да најде начин да пристапи до нив, особено доколку не се имплементираат најсовремени мулти левел безбедносни решенија.
Превземено од https://www.bleepingcomputer.com
Во КАБТЕЛ, силно веруваме дека клучот за да останете напред во брзата ИКТ индустрија лежи…
Секоја петта компанија доживеала прекршување на податоците Според степенот на ризик од сајбер закани кои…
Sophos XDR: Нова генеративна функционалност на вештачката интелигенција и подобрувања на истрагите Работете самоуверено и…
Ослободете го целосниот потенцијал на вашите операции со SCADA автоматизација SCADA системите за надзорна контрола…
Sophos Firewall: Новi Desktop Firewalls XGS Series и нова верзија Sophos Firewall Operating System v21…
Кабтел повторно Key Industrial Partner на Thales, со зајакната посветеност кон иновативни и безбедни решенија…