McAfee заблокировала доступ к вредоносному ПО, распространявшемуся, как оказалось, из сети самой компании. Вредонос содержался на стороннем сайте, но распространялся через домен, связанный с сервисом McAfee ClickProtect. По иронии судьбы сервис предназначен для защиты пользователей электронной почты от фишинговых писем и ссылок, распространяющих вредоносное ПО.

Вредоносную ссылку обнаружил французский исследователь безопасности, использующий псевдоним Benkow. Эксперт нашел и опубликовал содержащий ссылку аналитический отчет о вредоносном ПО. Ссылка перенаправляла пользователей через домен cp.mcafee.com на вредоносный документ Word, после загрузки и открытия которого на систему жертвы загружался банковский троян Emotet. Загрузка вредоноса начиналась, когда пользователь разрешал активировать макросы.

После установки троян собирал с зараженной системы пароли и отправлял их на свой C&C-сервер. По словам ИБ-эксперта Маркуса Хатчинса (Marcus Hutchins), вредонос подключается к C&C-серверу с помощью вшитых IP-адресов, но для обхода обнаружения использует прокси.

Вредонос, впервые обнаруженный в 2014 году, снова вернулся в сентябре текущего года. Исследователи из Trend Micro зафиксировали новую кампанию по распространению Emotet. Основным вектором заражения являются фишинговые письма, замаскированные под счета и уведомления об оплате.

Каким образом появилась ссылка, по ошибке или была создана хакерами, неизвестно. Причины возвращения Emotet также остаются загадкой.