De beruchte Emotet-malware heeft na drie maanden een comeback gemaakt. Dit signaleren security-experts van Cofense en de Emotet-trackinggroep Cryptolaemus. De malware wordt verspreid via e-mails die zich als facturen voordoen
De laatste Emotet-aanval werd in november 2022 gesignaleerd, maar de spamaanvallen die deze malware verspreiden zijn onlangs weer begonnen, zo constateren de security-experts van Cofense en Cryptolaemus.
Emotet is hardnekkige malware die vooral via kwaadaardige Microsoft Word- en Excel-documenten wordt verspreid. De malware is in staat e-mail en contactinformatie naar een C2-server door te sluizen of andere kwaadaardige payloads te downloaden. Denk daarbij aan CobaltStrike dat voor ransomware-aanvallen wordt ingezet.
Aanvalsstrategie
In de nieuwe aanval zit de malware verpakt in e-mails met attachments die zich als facturen voordoen. De bijlagen zijn ZIP-bestanden met daarin gemanipuleerde Word-bestanden. Deze bestanden hebben een omvang van meer dan 500 MB. Ze zitten vol met ongebruikte data om de bestanden groter te maken en daardoor het antivirusoplossingen lastiger te maken de malware te ontdekken.
Via het kwaadaardige ‘Red Dawn’-template van Emotet kunnen slachtoffers de inhoud van deze bestanden goed bekijken. De vele kwaadaardige macro’s in deze bestanden zorgen ervoor dat de Emotet loader als een DLL wordt gedownload van vooral gehackte WordPress blogs. Ook deze DLL kan weer zijn ‘opgeblazen’ tot een omvang van 526 MB voor het moeilijker maken van detectie.
Deze ontwijkingsstrategie is tot nu toe succesvol, geeft VirusTotal aan. De nieuwe malware wordt maar door -op dit moment- acht securityleveranciers ontdekt. Dit uit 64 verschillende beschikbare engines.
Beperkte impact
Ondanks de nieuwe uitbraak, wordt op dit moment de impact nog als beperkt geschat. Onder meer de maatregelen van Microsoft sinds juli 2022 waarbij macro’s in Office standaard staan uitgeschakeld, hebben bijgedragen tot minder impact door Emotet.
Wel verwachten experts dat deze maatregelen ertoe leiden dat cybercriminelen andere gemanipuleerde bestanden als attachment gaan meesturen. Denk daarbij aan attachments met Microsoft OneNote-bestanden, ISO images en JS files.
Tip: Hackers stelen gevoelige data van Amerikaanse federale politie
4 uur geleden
