Оффлайн
- Регистрация
- 03.11.22
- Сообщения
- 621
- Реакции
- 4
- Репутация
- 0
Печально известный ботнет Emotet был связан с новой волной спам-кампаний, которые используют защищенные паролем RAR-архивы для заражения жертв CoinMiner и Quasar RAT. Об этом сообщили исследователи из Trustwave SpiderLabs, которые в ходе расследования кампаний Emotet обнаружили в электронном письме ZIP-файл приманку, содержащую самораспаковывающийся архив (SFX), из которого распаковывается другой архив.
Обычно, чтобы такая фишинговая атака прошла успешно, нужно убедить жертву открыть вложение. Но специалисты рассказали, что злоумышленники решили эту проблему, используя bat-файл для автоматического ввода пароля к архиву с полезной нагрузкой.
Первый SFX-архив обычно маскируется под PDF или Excel-файл, чтобы не вызвать подозрений у жертвы. Внутри него находятся три компонента:
Все это приводит к заражению жертвы криптомайнером с функционалом инфостилера под названием CoinMiner или Quasar RAT, трояна с удаленным исходным кодом, написанном на .NET.
По словам исследователей из компании Trustwave, злоумышленники все чаще используют упакованные в ZIP-архивы вредоносы, причем около 96% из них распространяет ботнет Emotet.
Обычно, чтобы такая фишинговая атака прошла успешно, нужно убедить жертву открыть вложение. Но специалисты рассказали, что злоумышленники решили эту проблему, используя bat-файл для автоматического ввода пароля к архиву с полезной нагрузкой.
Первый SFX-архив обычно маскируется под PDF или Excel-файл, чтобы не вызвать подозрений у жертвы. Внутри него находятся три компонента:
- SFX RAR-архив с вредоносом;
- bat-файл;
- Отвлекающий внимание PDF-файл или изображение;
Все это приводит к заражению жертвы криптомайнером с функционалом инфостилера под названием CoinMiner или Quasar RAT, трояна с удаленным исходным кодом, написанном на .NET.
По словам исследователей из компании Trustwave, злоумышленники все чаще используют упакованные в ZIP-архивы вредоносы, причем около 96% из них распространяет ботнет Emotet.