2min

Het in 2014 ontdekte Trojaans paard Emotet is tegenwoordig nog steeds actief. In de tussentijd heeft de malware zich doorontwikkeld, wat de aanval steeds geavanceerder maakt. Emotet kan zich zo beter verspreiden via bedrijfssystemen. Dat toont onderzoek van Check Point aan.

Doorgaans behalen succesvolle malwarecampagnes tijdelijk het grote nieuws, waarna ze verdwijnen. Emotet blijkt één van de uitzonderingen die bijzonder duurzaam is. Oorspronkelijk diende de aanval als een Trojaans paard voor het stelen van financiële informatie. Check Point wijst erop dat deze bankier-functionaliteit in 2017 verdween. Het modulaire ontwerp vergroot de mogelijkheden van Emotet nu. Hierbij valt te denken aan het infecteren van netwerken middels de ‘Rig exploit kit’ en traditionele aanvallen zoals spam.

Methode

De Emotet Trojan maakt gebruik van API-functies om data te verzamelen, waaronder logingegevens. Recentelijk gebruiken kwaadwillenden ook open-source code van derde partijen. Daardoor ontstaat er een “ecosysteem aan modules”, aldus de onderzoekers.

Zo is het onderdeel voor het leveren van de malware in staat om het Trojaans paard direct te upgraden naar de nieuwste versie van de kwaadaardige software. Er kan gespeeld worden met welke command and control (C&C)-servers de gestolen informatie versturen en ontvangen. Dit bemoeilijkt het werk van security-professionals. Standaard antivirusprogramma’s leggen doorgaans namelijk geen verband tussen patronen binnen bestanden om ze als kwaadaardig te identificeren.

Check Point concludeert naar aanleiding van zijn bevinding dat Emotet waarschijnlijk toe zal blijven slaan. Dit vanwege de jarenlange ervaring die de malware opdeed, alsmede het geavanceerde ecosysteem van de aanval. De onderzoekers vinden vooral de toegang tot libraries van derde partijen in het algemeen een krachtige stimulans voor een ontwikkelproces. Dat maakt deze malware dus ook wat geavanceerder.

Activiteite Mealybug

De bevindingen komen enigszins overeen met een onderzoek dat Symantec enkele weken geleden publiceerde. Hierin werd aangetoond dat Mealybug, de hackersgroep achter Emotet, de malware aangepast heeft. Het collectief verkoopt de kwaadaardige software aan anderen. Daarmee blijft Emotet op allerlei manieren een bedreiging.