Специалисты «Лаборатории Касперского» обнаружили новые модификации банковского троянца Emotet: теперь под прицел вредоносной программы, выявленной впервые в 2014 году, попали клиенты нескольких швейцарских банков. Судя по найденным участкам кода, киберпреступники хорошо владеют русским языком, указывают разработчики антивирусов.

Эксперты заинтересовались троянцем еще в прошлом году: его отличала сложная модульная архитектура, технологии автоматической кражи денег с банковских счетов, а также избирательность — атаки были нацелены на небольшое число немецких и австрийских банков. Однако злоумышленники быстро прекратили активность, а командные серверы перестали отвечать зараженным узлам. «Тем не менее очевидная высокая техническая подготовка кампании не оставляла сомнений, что последует новая волна атак, первые из которых были зарегистрированы уже в январе этого года. Обновленная версия банкера не только расширила список жертв, но и стала тщательнее маскировать свою деятельность», — говорится в обзоре «Лаборатории Касперского», посвященном новой угрозе.

Как уточняется, Emotet распространяется посредством спам-писем на немецком языке с вредоносными ссылками или вложениями, внутри которых находится загрузчик зловреда. При этом файл намеренно имеет очень длинное имя, чтобы скрыть от пользователя расширение «exe» в проводнике Windows, который обычно не отображает на экране название полностью. Также с целью усложнения детектирования антивирусами основная часть троянца скачивается специальным загрузчиком в зашифрованном виде.

Троянец включает целый набор вредоносных модулей: для отправки спама, организации DDoS-атак и кражи учетных записей электронной почты. А главную задачу — хищение денег — Emotet выполняет благодаря модулю модификации веб-трафика. «Внедряя зловредный код в страницы системы онлайн-банкинга, преступники автоматически инициируют перевод средств, а так как обойти систему двухфакторной аутентификации невозможно, троянец привлекает к участию самого пользователя — для обмана жертвы используются убедительные приемы социальной инженерии. В результате «зараженный» пользователь не только лишается собственных средств, но также распространяет троянца по контактам своей адресной книги», — рассказывают в антивирусной компании.

Алексей Шульмин из «Лаборатории Касперского» отмечает, что «жертвами выбраны только клиенты определенных банков, фальшивые письма рассылки составлены очень правдоподобно, схема дальнейшего распространения продумана до мелочей, а механизм финансовых краж автоматизирован настолько, насколько это вообще возможно». Технические детали приводятся в материале антивирусного эксперта.