Is Emotet tot leven gewekt?? Het lijkt erop dat de beruchte malware terug is voor Kerstmis.
Maanden nadat de malware door wetshandhavers was ontmanteld, beveiligingsonderzoeker Luca Ebach ziet tekenen van Emotet-gebruik in het wild. Zijn rapport geeft aan dat TrickBot wordt momenteel gebruikt om een nieuwe variant van Emotet te implementeren op systemen die TrickBot eerder had gecompromitteerd.
Emotet gereïncarneerd?
"Op zondag, November 14, ongeveer 9:26pm UTC zagen we op verschillende van onze Trickbot-trackers dat de bot probeerde een DLL naar het systeem te downloaden. Volgens interne verwerking, deze DLL's zijn geïdentificeerd als Emotet," zei Ebach.
Verdere analyse hielp om met "hoog vertrouwen" te bevestigen dat de gedetecteerde monsters inderdaad "een reïncarnatie van de beruchte Emotet" zijn.
Welke overeenkomsten zijn er met eerdere Emotet-samples? Het veelvuldig gebruik van control-flow flattening voor codeverduistering was typerend voor oudere Emotet-varianten, en het is ook aanwezig in deze. De onderzoeker leverde twee willekeurige codefragmenten om de overeenkomst in versluieringsstijl te illustreren.
“Volgens het beroemde eend-typeren, we concluderen tot nu toe: ruikt naar Emotet, lijkt op Emotet, gedraagt zich als Emotet – lijkt Emotet te zijn,”De onderzoeker gesloten.
EmoCrash: de Emotet Killswitch
In augustus 2020, beveiligingsonderzoekers creëerden een exploit en vervolgens een killswitch (genaamd EmoCrash) om te voorkomen dat de Emotet-malware zich verspreidt. Emotet is beschreven als een alles-in-één malware die door bedreigingsactoren kan worden geprogrammeerd om ofwel andere malware te downloaden en bestanden te stelen, of rekruteer de gecompromitteerde systemen in het botnet-netwerk. Bekend sinds in ieder geval 2014, de malware is gebruikt bij verschillende aanvallen op zowel particuliere doelen als bedrijfs- en overheidsnetwerken.
Nieuwe malware-laders verschijnen ook
In oktober 2021, beveiligingsonderzoekers van Cisco Talos hebben een nieuwe malware-loader ontdekt, EekhoornWafel, met de waarschijnlijkheid om Emotet te vervangen. “Organisaties moeten zich bewust zijn van deze dreiging, aangezien het in de nabije toekomst waarschijnlijk zal blijven bestaan in het dreigingslandschap,”Aldus de onderzoekers. Aangezien de activiteiten van Emotet werden verstoord door wetshandhavers, beveiligingsonderzoekers hebben gewacht op een nieuwe speler die opkomt.
Maar nu is er bijna solide bewijs dat Emotet zijn comeback maakt net op tijd voor Kerstmis. Will SquirrelWaffle en andere nieuwe laders concurreren met een geüpgrade Emotet in aankomende phishing-campagnes? Als een herinnering, in 2019, er is een phishing-campagne in het wild gedetecteerd, gericht op thuisgebruikers met Emotet-laced “Kerstfeest” menus.