Через связанный с сервисом McAfee ClickProtect домен распространялся банковский троян Emotet
16.11.2017
ИБ-компания McAfee заблокировала доступ к вредоносному ПО, распространявшемуся, как оказалось, из сети самой компании. Вредонос содержался на стороннем сайте, но распространялся через домен, связанный с сервисом McAfee ClickProtect. По иронии судьбы сервис предназначен для защиты пользователей электронной почты от фишинговых писем и ссылок, распространяющих вредоносное ПО.
Вредоносную ссылку обнаружил французский исследователь безопасности, использующий псевдоним Benkow. Эксперт нашел и опубликовал содержащий ссылку аналитический отчет о вредоносном ПО. Ссылка перенаправляла пользователей через домен cp.mcafee.com на вредоносный документ Word, после загрузки и открытия которого на систему жертвы загружался банковский троян Emotet. Загрузка вредоноса начиналась, когда пользователь разрешал активировать макросы.
После установки троян собирал с зараженной системы пароли и отправлял их на свой C&C-сервер. По словам ИБ-эксперта Маркуса Хатчинса (Marcus Hutchins), вредонос подключается к C&C-серверу с помощью вшитых IP-адресов, но для обхода обнаружения использует прокси.
Вредонос, впервые обнаруженный в 2014 году, снова вернулся в сентябре текущего года.Основным вектором заражения являются фишинговые письма, замаскированные под счета и уведомления об оплате.
Каким образом появилась ссылка, по ошибке или была создана хакерами, неизвестно. Причины возвращения Emotet также остаются загадкой
