Защитный сервис McAfee поставил пользователей под угрозу заражения банковским трояном

17 ноября 2017, 10:36 | Технологии
фото с InternetUA
Размер текста:

ИБ-компания McAfee заблокировала доступ к вредоносному ПО, распространявшемуся, как оказалось, из сети самой компании. Вредонос содержался на стороннем сайте, но распространялся через домен, связанный с сервисом McAfee ClickProtect. По иронии судьбы сервис предназначен для защиты пользователей электронной почты от фишинговых писем и ссылок, распространяющих вредоносное ПО.

Вредоносную ссылку обнаружил французский исследователь безопасности, использующий псевдоним Benkow. Эксперт нашел и опубликовал содержащий ссылку аналитический отчет о вредоносном ПО. Ссылка перенаправляла пользователей через домен cp. mcafee.com на вредоносный документ Word, после загрузки и открытия которого на систему жертвы загружался банковский троян Emotet. Загрузка вредоноса начиналась, когда пользователь разрешал активировать макросы.

После установки троян собирал с зараженной системы пароли и отправлял их на свой C&C-сервер.

По словам ИБ-эксперта Маркуса Хатчинса (Marcus Hutchins), вредонос подключается к C&C-серверу с помощью вшитых IP-адресов, но для обхода обнаружения использует прокси.

Вредонос, впервые обнаруженный в 2014 году, снова вернулся в сентябре текущего года. Как ранее сообщал SecurityLab, исследователи из Trend Micro зафиксировали новую кампанию по распространению Emotet. Основным вектором заражения являются фишинговые письма, замаскированные под счета и уведомления об оплате.

Каким образом появилась ссылка, по ошибке или была создана хакерами, неизвестно. Причины возвращения Emotet также остаются загадкой.

Источник: InternetUA



Добавить комментарий
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введите верный ответ