Emmenhtal и SmokeLoader: новая угроза для банковских систем

Emmenhtal активно используется злоумышленниками с начала года, и его основная цель - доставка опасных программ, таких как CryptBot и Lumma. Однако в данном случае исследователи зафиксировали его совместную работу с SmokeLoader, что позволяет злоумышленникам гибко адаптировать атаку и загружать дополнительные вредоносные модули по мере необходимости.

Атака реализуется в пять этапов, каждый из которых тщательно продуман для максимальной эффективности. Сначала жертва получает электронное письмо с вложенным 7z-архивом, содержащим обманчивые документы. После открытия архива пользователь видит поддельный PDF-файл, имитирующий банковскую документацию, что снижает уровень подозрений. Однако параллельно запускается скрытый процесс: PowerShell-скрипт загружает и выполняет вредоносный код Emmenhtal, который, в свою очередь, развертывает SmokeLoader через шелл-код.

Особую опасность представляет SmokeLoader - многофункциональный ботнет, способный не только красть данные, но и служить платформой для дальнейших атак. Например, злоумышленники могут использовать его для распространения ransomware (программ-вымогателей) или шпионских модулей.

Одной из ключевых особенностей этой кампании стало использование модифицированной версии системного файла DCCW.exe - стандартного инструмента Windows для калибровки цветов монитора. Злоумышленники внедрили в него вредоносный код, что позволяет скрыть активность от антивирусных решений и систем мониторинга. Такой подход делает атаку более незаметной и увеличивает шансы на успешное заражение.

Аналитики подчеркивают, что подобные атаки представляют серьезную угрозу не только для банков, но и для обычных пользователей, поскольку злоумышленники могут адаптировать схему под другие цели. Уже сейчас фиксируются случаи, когда аналогичные письма рассылаются под видом налоговых уведомлений или счетов за услуги.

Для защиты от подобных угроз эксперты рекомендуют соблюдать базовые правила кибергигиены: не открывать подозрительные вложения, проверять отправителей писем, регулярно обновлять ПО и использовать многофакторную аутентификацию. Кроме того, компаниям стоит внедрять системы мониторинга сетевой активности, способные обнаруживать аномальные процессы, связанные с PowerShell и другими системными утилитами.

Исследование SEKOIA в очередной раз демонстрирует, что киберпреступники постоянно совершенствуют свои методы, а значит, и защитные механизмы должны развиваться в ответ. В противном случае финансовый сектор и другие уязвимые отрасли останутся под угрозой масштабных атак с серьезными последствиями.

IPv4

• 194.87.31.68
• 88.151.192.165

SHA256

• 3160da060f2392474cceee22eba65eb3ce6f8117e3fd84c606386c92bfc863bb
• 4ee62002f89dffa52405df9c082cba4d4dfa7de7a207cb3a3f37be76ca6454c4
• 537aa3ebc2b1cb9d43793e000dd5322ca780c7a274da5f46d5054b09196e2a1a
• a1706ec6772daa7a54c67117d5ce7b5fd5285f6245ad08f46b3b4176a7f1e021
• ae64762d044f4b108f2ff820c0744d199c4c33616af17c35c3634aef79c4e3ff
• dd510900d091a35f0ef6d906be087a1ae7969e3d75450cef475e1a032736cc20
• ea3c8dbe0b30fb6d5c68eb55454b2a9471e8e21abb4343306445b4905370f51c