Emotet, SFX-архивы, два вредоноса: самораспаковывающиеся RAR-архивы стали оружием в руках операторов Emotet

Печально известный ботнет Emotet был связан с новой волной спам-кампаний, которые используют защищенные паролем RAR-архивы для заражения жертв CoinMiner и Quasar RAT. Об этом сообщили исследователи из Trustwave SpiderLabs, которые в ходе расследования кампаний Emotet обнаружили в электронном письме ZIP-файл приманку, содержащую самораспаковывающийся архив (SFX), из которого распаковывается другой архив. Обычно, чтобы такая фишинговая атака прошла успешно, нужно убедить жертву открыть вложение. Но специалисты рассказали, что злоумышленники решили эту проблему, используя bat-файл для автоматического ввода пароля к архиву с полезной нагрузкой.
Первый SFX-архив обычно маскируется под PDF или Excel-файл, чтобы не вызвать подозрений у жертвы. Внутри него находятся три компонента:
SFX RAR-архив с вредоносом;
bat-файл;
Отвлекающий внимание PDF-файл или изображение;
В отчете исследователей говорится, что выполнение bat-файла приводит к развертыванию вредоносного ПО, упакованного в SFX RAR-архив. Вредоносы распаковываются из архива благодаря батнику, который указывает пароль архива и папку для распаковки, в которую будет извлечена полезная нагрузка. Кроме того, bat-файл параллельно запускает команду, открывающую изображение или PDF. Все это приводит к заражению жертвы криптомайнером с функционалом инфостилера под названием CoinMiner или Quasar RAT, трояна с удаленным исходным кодом, написанном на .NET. По словам исследователей из компании Trustwave, злоумышленники все чаще используют упакованные в ZIP-архивы вредоносы, причем около 96% из них распространяет ботнет Emotet.

Источник: https://www.securitylab.ru/news/534485.php