Computerbeveiligingsonderzoekers hebben een exploit gemaakt en vervolgens een killswitch (genaamd EmoCrash) om te voorkomen dat de Emotet-malware zich verspreidt. Dit is een van de meest voorkomende en gevaarlijke virusinfecties, aangezien ze worden verspreid via botnetnetwerken van geïnfecteerde hosts. De experts hebben een beveiligingsprobleem ontdekt waardoor dit kon gebeuren.
EmoCrash: Experts ontdekten een uitbuiting en stopten de emotie van het infecteren van pc's
De Emotet-malware is een van de meest bekende en gevaarlijke virussen die voornamelijk worden verspreid via botnet-netwerken van geïnfecteerde hosts. De botnet-netwerken zijn aan het configureren om het virus automatisch te verspreiden door SPAM-inhoud in e-mailberichten te gebruiken of directe aanvallen door algemene beveiligingsproblemen te gebruiken. De Emotet-malware wordt vaak omschreven als een alles-in-één virus die door de hackers kunnen worden geprogrammeerd om andere malware te downloaden, bestanden stelen of de besmette hosts rekruteren in het botnet-netwerk. Het is sindsdien bekend 2014 en is sindsdien gebruikt bij talloze aanvallen op zowel privédoelen als bedrijfs- en overheidsnetwerken.
Een paar maanden geleden heeft een nieuwe update een nieuwe functie toegevoegd waarmee de kwaadwillende engine Wi-Fi-netwerken kon infecteren binnen het bereik van reeds gehackte hosts. Er is ook een nieuwe persistentie-installatie geïmplementeerd, waardoor het moeilijker wordt om de actieve infecties te verwijderen.
Echter, met deze update rapporteerden beveiligingsingenieurs die de wijzigingen in de Emotet-code bijhouden dat er een killswitch voor was bedacht. Het maakt gebruik van een PowerShell-script die de malwarecontroles op het lokale systeem manipuleerde en het een leeg uitvoerbaar bestand liet laden. Als gevolg hiervan werd voorkomen dat de malware op het doelsysteem werd uitgevoerd.
Een tweede beveiligingslek stelde de hackers in staat om een andere te bouwen, meer complexe vorm van virusmanipulatie die bekend staat als EmoCrash. Het is gecategoriseerd als een buffer overflow exploit waardoor de Emotet-engine crasht tijdens de installatie. Dit wordt gedaan om te voorkomen dat de gebruikers helemaal besmet raken.
De beveiligingsexperts hebben ervoor gezorgd dat de exploitcode niet openbaar wordt gemaakt om deze techniek voor de hackers te verbergen. Dit wordt gedaan om te voorkomen dat de malwarecode wordt gepatcht tegen de bug. Maar in april 2020 de hackers hebben de viruscode bijgewerkt en de registerwaardecodes verwijderd die door EmoCrash zijn misbruikt.
Gezien het feit dat computerbeveiligingsexperts maatregelen nemen om methoden voor malwarebescherming te bedenken door misbruik te maken van fouten in de code, blijkt dat binnenkort weer een andere techniek kan worden bedacht. We raden alle computergebruikers aan waakzaam te zijn en altijd veiligheidsmaatregelen te nemen om hun systemen tegen malware-infecties te beschermen.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: