ІБ-компанія McAfee заблокувала доступ до шкідливого ПО, поширювалося, як виявилося, з мережі самої компанії. Шкідливий містився на сторонньому сайті, але поширювався через домен, пов'язаний з сервісом McAfee ClickProtect. За іронією долі сервіс призначений для захисту користувачів електронної пошти від фішингових листів і посилань, що поширюють шкідливе ПЗ.
Шкідливе посилання виявив французький дослідник безпеки, який використовує псевдонім Benkow. Експерт знайшов і опублікував містить посилання аналітичний звіт про шкідливі програми. Посилання перенаправляла користувачів через домен cp. mcafee. com на шкідливий документ Word, після завантаження і відкриття якого на систему жертви завантажувався банківський троян Emotet. Завантаження шкідливий починалася, коли користувач дозволяв активувати макроси.
Після установки троян збирав із зараженою системи паролі і відправляв їх на свій C & C-сервер.
За словами ІБ-експерта Маркуса Хатчинса (Marcus Hutchins), шкідливий підключається до C & C-серверу за допомогою вшитих IP-адрес, але для обходу виявлення використовує проксі.
Шкідливий, вперше виявлений в 2014 році, знову повернувся у вересні поточного року. Як раніше повідомляв SecurityLab, дослідники з Trend Micro зафіксували нову кампанію з розповсюдження Emotet. Основним вектором зараження є фішингові листи, замасковані під рахунки і повідомлення про оплату.
Яким чином з'явилося посилання, помилково або була створена хакерами, невідомо. Причини повернення Emotet також залишаються загадкою.