.
"
Стандартные банковские трояны извлекают конфиденциальную информацию с помощью фишинга или инъекций в поля форм на финансовых сайтах после того, как пользователь там авторизовался. Жертва думает, что вводит информацию для банковского перевода по нужному адресу, а в реальности совершается другая транзакция.
Emotet действует иначе. Он извлекает учётные данные непосредственно из HTTPS-трафика, с помощью встроенного снифера. Тот постоянно находится в памяти и отслеживает посещённые URL. Как только есть совпадение с финансовым ресурсом — начинается пакетный перехват по сетевым интерфейсам PR_OpenTcpSocket, PR_Write, PR_Close, PR_GetNameForIndentity, Closesocket, Connect,Send и WsaSend.
"
Источник
