.
"
Стандартные банковские трояны извлекают конфиденциальную информацию с помощью фишинга или инъекций в поля форм на финансовых сайтах после того, как пользователь там авторизовался. Жертва думает, что вводит информацию для банковского перевода по нужному адресу, а в реальности совершается другая транзакция.
Emotet действует иначе. Он извлекает учётные данные непосредственно из HTTPS-трафика, с помощью встроенного снифера. Тот постоянно находится в памяти и отслеживает посещённые URL. Как только есть совпадение с финансовым ресурсом — начинается пакетный перехват по сетевым интерфейсам PR_OpenTcpSocket
, PR_Write
, PR_Close
, PR_GetNameForIndentity
, Closesocket
, Connect
,Send
и WsaSend
.
"
Источник