Троянская программа распространялась с ресурса, связанного с защитным сервисом McAfee

Специалисты McAfee заблокировали доступ к вредоносной программе, распространение которой осуществлялось из сети самой компании.

Программа находилась на стороннем ресурсе, но распространялась посредством домена, связанного с сервисом McAfee ClickProtect. Примечательно, что задачей этого сервиса является защита пользователей электронной почты от фишинговых писем и вредоносных ссылок.

Вредоносная ссылка была найдена французским ИБ-экспертом, который известен как Benkow. Исследователь разместил аналитический отчет о программе, содержащий ссылку, которая перенаправляет пользователя через cp.mcafee.com на вредоносный файл Word. После открытия документа и активации макросов начиналась загрузка банковской троянской программы Emotet.

Троянская программа похищала с зараженной системы пароли и передавала их на командный сервер. Как утверждает ИБ-эксперт Маркус Хатчинс, вредоносная программа подключается к командному серверу посредством IP-адресов, вшитых в код, но для того, чтобы избежать обнаружения, она применяет прокси.