ІБ-компанія McAfee заблокувала доступ до шкідливого ПО, поширювалося, як виявилося, з мережі самої компанії. Шкідливий містився на сторонньому сайті, але поширювався через домен, пов'язаний з сервісом McAfee ClickProtect. За іронією долі сервіс призначений для захисту користувачів електронної пошти від фішингових листів і посилань, що поширюють шкідливе ПЗ.

Шкідливе посилання виявив французький дослідник безпеки, який використовує псевдонім Benkow. Експерт знайшов і опублікував містить посилання аналітичний звіт про шкідливі програми. Посилання перенаправляла користувачів через домен cp. mcafee. com на шкідливий документ Word, після завантаження і відкриття якого на систему жертви завантажувався банківський троян Emotet. Завантаження шкідливий починалася, коли користувач дозволяв активувати макроси.

Після установки троян збирав із зараженою системи паролі і відправляв їх на свій C & C-сервер.

За словами ІБ-експерта Маркуса Хатчинса (Marcus Hutchins), шкідливий підключається до C & C-серверу за допомогою вшитих IP-адрес, але для обходу виявлення використовує проксі.

Шкідливий, вперше виявлений в 2014 році, знову повернувся у вересні поточного року. Як раніше повідомляв SecurityLab, дослідники з Trend Micro зафіксували нову кампанію з розповсюдження Emotet. Основним вектором зараження є фішингові листи, замасковані під рахунки і повідомлення про оплату.

Яким чином з'явилося посилання, помилково або була створена хакерами, невідомо. Причини повернення Emotet також залишаються загадкою.