Исследователи компании Cofense сообщили о резком росте активности ботнета Emotet. В последние дни его операторы организовали уже несколько масштабных кампаний рассылки фишинговых сообщений, тема которых связана с подачей налоговых деклараций. Эта ситуация вполне объяснима: налогоплательщики США должны уплатить все налоги за минувший год до 18 апреля, и киберпреступники пользуются актуальностью темы.

Сообщения, рассылаемые якобы от имени Налоговой службы США, могут представлять собой формы налоговой декларации, которые предлагается заполнить, уведомления о якобы причитающемся получателю налоговом вычете и т.д. К письму прилагается архивированный документ Word либо Excel (или же ссылка на такой архив) – использование архиваторов затрудняет детектирование вредоносного ПО защитными решениями. После разархивирования и открытия документа пользователю предлагается активировать макрокоманды для заполнения либо редактирования формы. Активация ведет к инфицированию устройства вредоносным ПО Emotet. В случае его установки зараженное устройства включается в бот-сеть и используется для дальнейшей рассылки спама и вредоносных сообщений. Кроме того, Emotet часто используется киберпреступниками как «плацдарм» для последующей загрузки на инфицированные устройства других видов вредоносного ПО, включая, например, зловред-шифровальщик Conti.