Trojan Emotet weer in het wild gespot, met nieuwe technieken

De Emotet-trojan, die als doorn in de hiel van financiële instituten werkte, is weer terug. Ditmaal met nieuwe technieken en een forse toename van het aantal aanvallen. Onderzoekers van Menlo Security melden dat Emotet-aanvallen flink opgevoerd zijn sinds half januari en dat de malware meer systemen besmet.

Emotet werd in 2014 ontdekt en staat te boek als een van de meest destructieve financiële trojans die er zijn. De malware werd ontwikkeld door een groep die zichzelf Mealybug noemt. Het is een malware-as-a-service zaak, die als platform beschikbaar is voor andere cyberaanvallers. Waar de Emotet-malware gewoonlijk andere malware aflevert, doet het tegenwoordig ook dienst als een brute-force aanvaller. Ook kan de malware Business Email Compromise (BEC) berichten opzetten via gecompromitteerde accounts, om zo achterdeurtjes te maken en financiële gegevens te stelen.

Meest kostbaar en destructief

In 2018 werd een US-CERT security advisory vrijgegeven waarin Emotet “een van de meest kostbare en destructieve malware met invloed op de staat, lokale, tribale en territoriale (in het Engels SLTT, red.) overheden, evenals de private en publieke sector”. Daarnaast waarschuwden onderzoekers van Trend Micro in november nog dat Emotet zichzelf beter dan ooit kon beschermen tegen pogingen de malware offline te halen.

Menlo Security stelt nu dat de malware zich op hele nieuwe manieren verspreidt en zich ook richt op nieuwe sectoren. De malware verspreidt zichzelf nu via URL’s die gehost staan op de infrastructuur van de aanvaller, evenals via traditionele e-mailbijlagen. De afgelopen tijd is het aantal aanvallen op sectoren als de gezondheidszorg, verzekeringswereld en financiële sector ook flink toegenomen.

Twintig procent van de malware die Menlo analyseerde bestond uit een Word-document met macro’s. Maar nieuw is de tachtig procent die een XML-bestand, vermomd als Word-document is. Op die manier zouden de aanvallers volgens de onderzoekers van Menlo zowel detectie als sandbox-opzetten willen omzeilen. Die laatste techniek gebruiken onderzoekers vaak om malware-code te kunnen analyseren.

De verwachting van de onderzoekers is dat Emotet ook in 2019 een van de meest gebruikte banking trojans zal zijn, net als vorig jaar.