Het bekende Emotet-botnet gebruikt een aantal nieuwe trucs om mensen te laten klikken op kwaadaardige documenten. Deze trucs zijn nieuwe varianten die moeten verleiden tot ‘updates’ van Microsoft-producten en -diensten. Vooral voor MS Office.
Emotet is één van de grootste verspreiders van met malware geïnfecteerde attachments of malspam ter wereld. De geïnfecteerde bestanden moeten ervoor zorgen dat slachtoffers onderdeel worden van het Emotet-botnet. Het botnet fungeert als een Malware-as-a-Service (MaaS)-dienst die hackers kunnen huren om hun kwaadaardige activiteiten uit te voeren.
Het botnet verandert vaak de manier waarop de besmette attachments worden afgeleverd en de look and feel van deze documenten. Hiermee wil het voorkomen dat securityspecialisten deze bestanden snel kunnen identificeren en uitschakelen. Zo worden in de e-mails onder meer de onderwerpen veranderd, de bodytekst, het soort attachment en de inhoud van het attachment. Wel moeten de hackers hierbij hopen dat slachtoffers automatisch het gebruik van macro’s toestaan.
Vanzelfsprekend heeft Emotet al jaren kwaadaardige attachments die aan Microsoft-producten en -diensten zijn gerelateerd, vooral Office, in omloop. Toch constateren security-experts dat sinds er weer veel van dit soort Emotet-berichten met een nieuwe variant worden gesignaleerd, zo bericht technieuwssite ZDnet.
Hack-techniek
In de nu door Emotet-campagnes massaal verstuurde attachments staat een bericht die aangeeft van de Windows Update-dienst afkomstig te zijn. Deze mails zijn vaak afkomstig van identiteiten als bekenden, zakelijke partners of officiële instellingen. Emotet gebruik hiervoor onder meer conversation hijacking. Hierbij steelt het botnet e-mailconversaties van geïnfecteerde hosts en nestelt zich in de conversatie met een antwoord door een adres van één van de deelnemers te spoofen. In dit antwoord dat de mailconversatie binnendringt voegt het automatisch een geïnfecteerd Office-document als booby trap.
In de mail worden de ontvangers vervolgens gevraagd de Office-app te updaten. Dit moet worden gedaan via de kwaadaardige Enable Editing-knop die in de mail wordt bijgeleverd. Door te klikken wordt vervolgens de TrickBot-trojan binnengehaald.
Voorkomen van Emotet-aanvallen
Volgens securityspecialisten is een Emotet-aanval moeilijk te ontdekken, vooral door personen die veel zakelijk e-mailverkeer hebben. Emotet wordt daarom vaak aangetroffen bij grote bedrijven of bij overheidsorganisaties.
Om een Emotet-aanval te kunnen pareren, is het belangrijk dat medewerkers goed worden getraind en alert worden gemaakt op dit type aanvallen. Vooral moeten zij weten dat het erg gevaarlijk is om macro’s automatisch te openen. Daarnaast vinden securityexperts, aldus ZDnet, het handig dat medewerkers de belangrijkste Emotet-documenten en trucs herkennen.
Tip: Waarom cybercriminelen massaal forums en het dark web gebruiken