Hackersgroep achter beruchte malware Emotet biedt nu ook diensten aan

Abonneer je gratis op Techzine!

De Mealybug-hackersgroep heeft zijn activiteiten flink uitgebreid. Tegenwoordig levert de groep namens andere aanvallers malware. Dat heeft Mealybug gedaan door zijn beruchte trojan Emotet aan te passen en te verkopen aan anderen. Zo blijft de bedreiging van de notoire malware dus bestaan.

Mealybug is sinds 2014 actief en staat bekend om de Emotet-trojan. Dat is malware die zich sterk richtte op Europeanen die aan het internetbankieren zijn. Maar nu heeft Mealybug zijn benadering van cybercriminaliteit danig aangepast en wordt Emotet gebruikt als manier voor andere groepen om informatie te stelen.

Bedreigingen verspreiden

Emotet was dus ooit een trojan, gericht op banken. Maar nu is het een manier voor andere hackers en kwaadwillenden om hun dreigingen mee te verspreiden. Dat doen ze naar het schijnt vooral in de Verenigde Staten, waar negentig procent van de malware-aanvallen die tot nu toe gedetecteerd zijn vandaan komt.

Emotet wordt verspreid via een phsihing-mailtje dat een url of document bevat. Als mensen op de link klikken, of het documentje downloaden, wordt de payload van het internet gehaald. Daarna kan de malware nieuwe payloads downloaden en installeren. Eerder was dat niet mogelijk en kon Emotet enkel de bankgegevens van slachtoffers buitmaken.

Zodra Emotet zich op een netwerk bevindt, heeft het de capaciteit om zich naar andere apparaten te verspreiden. Dat doet het met brute force attacks, waarmee het systemen kraakt door wachtwoorden uit lijsten uit te proberen. Ook kan Emotet spammails versturen met daarin neppe facturen en andere veelvoorkomende zakelijke documenten. Vaak bevatten die de naam van een gebruiker die gehackt is, zodat het geheel er echter uitziet.

Qakbot

Sinds februari gebruikt Mealybug de infrastructuur die het voor Emotet heeft opgezet, om een nieuwe trojan-as-a-service te verspreiden: Qakbot. Die lijkt in veel opzichten op Emotet en verspreidt zich ook via brute force attacks over netwerken. Maar het maakt ook gebruik van PowerShell om open-source tools te downloaden en draaien voor het stelen van credentials van gebruikers.

Onderzoekers van Symantec, die Qakbot op het spoor kwamen, concluderen dat er geen overlap bestaat in de C&C-structuren van Qakbot en Emotet. Aan de hand daarvan concluderen ze dat Mealybug Qakbot als een dienst aanbiedt en niet zelf gebruikt.