Emotet научился обходить новейшие почтовые фильтры

Операторы банкера Emotet доработали спамерские методы, чтобы обойти недавние рекомендации US-CERT по защите от этого трояна.

Преступники стали подменять доверенные сертификаты почтовых серверов, чтобы доставлять вредоносное ПО в обход защитных систем.

Впервые об угрозе Emotet заговорили в 2014 году в связи с атаками на немецких пользователей.

За прошедшие годы банковский троян значительно расширил свои возможности, воплотив в себе сразу несколько угроз.

Новые поколения способны закрепляться в корпоративной инфраструктуре, автоматически поражать компьютеры новых жертв, красть конфиденциальную информацию и распространять стороннее ПО.

В июле эксперты US-CERT сообщили, что каждая атака Emotet на государственные организации США обходится в сотни тысяч долларов.
Специалисты также разработали меры, призванные помешать трояну поражать новых жертв по электронной почте — преступники используют этот канал как для распространения самого Emotet, так и для рассылки побочного вредоносного ПО.

Администраторам рекомендовали внедрить антиспуфинговый механизм аутентификации на базе доменных имен — Domain-based Message Authentication, Reporting and Conformance, или DMARC. Лежащая в его основе технология доменных ключей (DomainKeys Identified Mail, DKIM) помогает подтвердить легитимность электронных писем.

По стандартам DKIM, в заголовке электронных сообщений должны быть прописаны инструкции для сервера-адресата и публичный ключ сертификата DKIM, по которым можно найти ключ безопасности на домене, откуда пришло письмо. Если действительного идентификатора нет, можно усомниться в подлинности отправленного сообщения.

К сожалению, преступникам понадобилось меньше полугода, чтобы обойти эту меру безопасности. Для этого они используют технику перехвата доменов (domain hijacking), которая перенаправляет запросы сервера по адресам под контролем злоумышленников. Расположенные там ключи создают впечатление легитимности отправителя, позволяя злоумышленникам обходить ограничения на уровне белых списков.

По мнению ИБ-экспертов, изменения в методике операторов Emotet говорят об эффективности DKIM с точки зрения защиты от спама. Плохие новости в том, что на данный момент специалистам трудно противодействовать перехвату доменов. Это дает преступникам преимущество при рассылке вредоносных писем, особенно в случае таких высокоэффективных троянов, как Emotet.

Антивирусные аналитики рекомендуют администраторам все же внедрить DMARC в свои системы. По их словам, несмотря на достижения киберпреступников, технология DKIM сегодня не имеет аналогов по эффективности в борьбе со зловредными рассылками.

Кроме того, этот пакет DMARC включает еще один механизм для аутентификации отправителя.

Расширение Sender Policy Framework позволяет администраторам доменов ограничивать набор серверов, которые могут использовать тот или иной адрес в качестве обратного.