Emotet maakt weer rondes in het wild
Na een korte afwezigheid, de beruchte Emotet-malware wordt opnieuw verspreid, dit keer via Microsoft OneNote e-mailbijlagen om op macro's gebaseerde beveiligingscontroles te omzeilen en systemen te infiltreren.
Wat is emotet?
samengevat, Emotet is een geavanceerd “alles-in-één malware” gebruikt door bedreigingsgroepen om extra malware te downloaden en gegevens te stelen door netwerkverkeer te onderscheppen, of om geïnfecteerde apparaten in hun botnetnetwerk op te nemen. Sindsdien is de malware actief 2014 en is gebruikt om zowel individuen als organisaties te targeten, evenals overheidsnetwerken. Het werd oorspronkelijk gemaakt als een bank-trojan en wordt verondersteld van Oost-Europese oorsprong te zijn.
Vorig jaar, AdvIntel heeft een rapport uitgebracht waarin dat over de hele wereld wordt onthuld, 1,267,598 Emotet-infecties werden geïdentificeerd, met grote pieken in de maanden februari en maart, evenals juni en juli. De kwaadaardige software werd gebruikt door post-Conti ransomware-bendes zoals Quantum en BlackCat.
Emotet is weer terug, Microsoft OneNote-bestanden gebruiken
Dit jaar, na drie maanden afwezigheid, Emotet dook vorige week weer op toen het botnet Epoch 4 verzonden kwaadaardige e-mails met geïnfecteerde Office-macro's. Ondanks dat de bijlagen erg groot zijn, het was verrassend om te zien dat Emotet hetzelfde aanvalsformaat aannam.
Microsoft implementeert sinds afgelopen zomer een systeem om macro's uit gedownloade documenten te blokkeren, criminelen dwingen hun methoden voor het leveren van malware via te heroverwegen malspam. Dientengevolge, andere criminele bendes begonnen Microsoft OneNote-documenten te gebruiken. Het lijkt erop dat Emotet momenteel het voorbeeld volgt.
Het OneNote-bestand lijkt eenvoudig te zijn, maar het is eigenlijk een slimme manier om gebruikers sociaal te manipuleren met een valse melding die beweert dat het document beveiligd is. Wanneer u wordt gevraagd om te dubbelklikken op de knop Bekijken, het slachtoffer dubbelklikt in plaats daarvan onbewust op een ingesloten scriptbestand.
Na een succesvolle installatie, Emotet zal dan communiceren met zijn commando- en controleservers om verdere instructies te krijgen.
Ook al heeft Emotet pauzes in activiteit gehad, en werd zelfs volledig stilgelegd door wetshandhavers, het blijft een ernstige bedreiging die bewijst hoe geavanceerde social engineering-trucs nog steeds hoge infectiepercentages opleveren. Hoewel macro's uiteindelijk verouderd kunnen raken, ze zullen snel een ander populair platform bewapenen om zowel organisaties als individuen te doorbreken.