Emotet, één van de meest destructieve botnets ter wereld, is na vier maanden afwezigheid weer terug. Onderzoekers ontdekten dat het botnet nu gebruikersnamen en wachtwoorden van uitgaande e-mailservers steelt. Het botnet begon ooit als een backing trojan, maar verspreidt tegenwoordig ook andere malware.
Een beveiligingsteam van Cisco Talos onderzocht Emotet, waarbij bekeken werd waarom het nog steeds een grote dreiging is. Dat heeft alles te maken met de werkwijze van het botnet, schrijft Ars Technica.
E-mail van een bekende
Emotet verstuurt voornamelijk spam. De e-mails lijken te komen van iemand waar het doelwit in het verleden mee gecorrespondeerd heeft. Die informatie krijgt Emotet door de contactenlijst en de inbox van een geïnfecteerde computer door te nemen.
Het botnet verstuurt vervolgens een vervolgmail naar één of meer van dezelfde deelnemers aan dat gesprek, en neemt de inhoud uit eerdere mailwisseling erin op. De malware voegt ook een malafide bijlage toe aan de mail. Op deze manier is de spammail moeilijk op te pikken door mensen en spamfilters.
Deze aanpak is niet nieuw. Emotet deed dit namelijk ook al voor het begin juni van de radar verdween. Deze week kwam het botnet echter terug en gebruikt het de truc veel meer. De aanpak werd bij 25 procent van de spammails die Emotet vorige week verzond gebruikt, tegenover 8 procent van de spammail in april.
Gestolen wachtwoorden
Het botnet steelt bovendien ook gebruikersnamen en wachtwoorden voor uitgaande e-mailservers. Die wachtwoorden worden vervolgens geleverd aan geïnfecteerde machines, die door de control servers zijn aangewezen als de verspreiders van spammail. De onderzoekers van Talos vonden 203.000 unieke combinaties die in tien maanden tijd verzameld waren.
Als Emotet een gebruiker zo ver heeft gekregen om een document te openen, dan ziet diegene dat de inhoud vanaf 20 september alleen te lezen is als ze in zijn gestemd met een licentie-overeenkomst voor Microsoft Word. Om dat te doen, moet een gebruiker op een Enable Content-knop klikken die macro’s in Word aanzet.
Nadat die macro’s aangezet zijn, worden Emotet executables gedownload van vijf verschillende payload-locaties. Daarna wordt een dienst gelanceerd die zoekt naar andere computers op het netwerk. Vervolgens download Emotet een geüpdatete binary en haalt het – mits aan een set aan geografische en organisatie-eisen is voldaan – de financiële malware Trickbot op.
21 uur geleden
