Er Emotet genopstået? Det ser ud til, at den berygtede malware er tilbage til jul.
Måneder efter, at malwaren blev demonteret af retshåndhævelsen, sikkerhedsforsker Luca Ebach ser tegn på Emotet-brug i naturen. Det viser hans rapport TrickBot bliver i øjeblikket brugt til at implementere en ny variant af Emotet på systemer, som TrickBot tidligere er blevet kompromitteret.
Emotet reinkarneret?
"På søndag, November 14, omkring 9:26pm UTC observerede vi på flere af vores Trickbot-trackere, at botten forsøgte at downloade en DLL til systemet. Ifølge intern behandling, disse DLL'er er blevet identificeret som Emotet,sagde Ebach.
Yderligere analyse hjalp med at bekræfte med "høj tillid", at de påviste prøver faktisk er "en re-inkarnation af den berygtede Emotet."
Hvilke ligheder er der med tidligere Emotet-eksempler? Den kraftige brug af kontrol-flow-udfladning til kodesløring var typisk for ældre Emotet-varianter, og det er også til stede i denne. Forskeren leverede to vilkårlige kodestykker for at illustrere ligheden i sløringsstil.
"I henhold til den berømte andeskrivning, vi konkluderer indtil videre: lugter af Emotet, ligner Emotet, opfører sig som Emotet - ser ud til at være Emotet,”Forskeren indgået.
EmoCrash: Emotet Killswitch
I august 2020, sikkerhedsforskere skabte en udnyttelse og efterfølgende en killswitch (kaldet EmoCrash) for at forhindre, at Emotet-malware spreder sig. Emotet er blevet beskrevet som en alt-i-en malware, der kunne programmeres af trusselsaktører til enten at downloade anden malware og stjæle filer, eller rekruttere de kompromitterede systemer til botnet-netværket. Kendt siden i hvert fald 2014, malwaren er blevet brugt i forskellige angreb mod både private mål og firma- og regeringsnetværk.
Nye malware-indlæsere dukker også op
I oktober 2021, sikkerhedsforskere fra Cisco Talos opdagede en ny malware-indlæser, EgernVaffel, med sandsynlighed for at erstatte Emotet. "Organisationer bør være opmærksomme på denne trussel, da det sandsynligvis vil fortsætte på tværs af trusselslandskabet i en overskuelig fremtid,”Siger forskerne. Siden Emotets operationer blev forstyrret af retshåndhævelse, sikkerhedsforskere har ventet på, at en ny spiller skulle rejse sig.
Men nu er der næsten et solidt bevis på, at Emotet gør sit comeback lige i tide til jul. Will SquirrelWaffle og andre nye læssere konkurrere med en opgraderet Emotet i kommende phishing-kampagner? Som en påmindelse, i 2019, en phishing-kampagne blev opdaget i naturen, målrettet hjemmebrugere med Emotet-laced “Jule fest” menuer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: