📌Ботнет Emotet крадет переписку жертвы за последние полгода.
Впервые Emotet был замечен еще в 2014 году, и тогда он представлял собой классический банковский троян. Этот банкер никогда не был слишком успешен, не входил топы самых опасных угроз, а к 2017 году его активность и вовсе постепенно сошла на нет.
Тогда создатели малвари решили переориентировать свою разработку, и летом 2017-го авторы переориентировали ботнет на доставку вредоносных компонентов по заказу криминальных группировок. Программа приобрела модульную структуру, что позволяет ей внедрять в инфицированные системы любую полезную нагрузку. Этот «бизнес» пошел куда лучше, и летом 2018 года предупреждение об опасности новой вариации Emotet выпустило даже Министерство внутренней безопасности США [
https://www.us-cert.gov/ncas/alerts/TA18-201A]. Дело в том, что многие модули нового Emotet используют для распространения SMB, что вызывает настоящий хаос в сетях зараженных организаций.
По словам экспертов Kryptos Logic, несколько дней назад зловред стал внедрять в инфицированные системы новый модуль, который создает архив всех сообщений из почтового ящика жертвы. Возможно с целью шпионажа, возможно они готовят кампанию с применением методов почтовой инженерии.
Атака начинается с установки на инфицированный компьютер DLL-библиотеки, предназначенной для сбора писем. Зловред использует Outlook Messaging API для получения адресов получателя и отправителя, их имен, темы сообщения и его полного содержания. Бот добавляет в *.tmp-файл сведения обо всей переписке жертвы за последние 180 дней и передает его на командный сервер, если размер архива превышает 116 байт.
Вероятно, это однин из шагов по подготовке к новой вредоносной кампании.
https://blog.kryptoslogic.com/malware/2018/10/31/emotet-email-theft.html
