De zet is bedoeld om de securitybeperkingen van Microsoft te omzeilen en meer doelwitten te infecteren. Emotet is een berucht malware-botnet dat in het verleden werd verspreid via Microsoft Word- en Excel-bijlagen die schadelijke macro’s bevatten.
Als een gebruiker de bijlage opent en macro’s inschakelt, wordt een DLL gedownload en uitgevoerd die de Emotet-malware op het apparaat installeert. Eenmaal geladen steelt de malware e-mailcontacten en e-mailinhoud voor gebruik in toekomstige spamcampagnes.
Er worden ook andere payloads gedownload die toegang geven tot het bedrijfsnetwerk. Deze toegang wordt gebruikt om cyberaanvallen tegen het bedrijf uit te voeren, waaronder ransomware-aanvallen, gegevensdiefstal, cyberspionage en afpersing.
Emotet botnet is terug
Na drie maanden inactiviteit is het Emotet-botnet plotseling weer ingeschakeld. Het spuwde eerder deze maand wereldwijd kwaadaardige e-mails in een aanvankelijke campagne die gebreken vertoonde omdat het gebruik van Word- en Excel-documenten met macro’s werd voortgezet. Aangezien Microsoft nu automatisch macro’s blokkeert in gedownloade Word- en Excel-documenten, inclusief die bij e-mails, zou deze campagne slechts een paar mensen besmetten.
Daarom schakelde Emotet over op Microsoft OneNote-bestanden, die een populaire methode voor het verspreiden van malware zijn geworden sinds Microsoft is begonnen met het blokkeren van macro’s.
In een Emotet-spamcampagne die voor het eerst werd opgemerkt door beveiligingsonderzoeker abel, zijn de bedreigers nu begonnen met het verspreiden van de Emotet-malware via schadelijke Microsoft OneNote-bijlagen. Deze bijlagen worden verspreid in reply-chain e-mails die zich voordoen als gidsen, how-tos, facturen, baanreferenties en meer.
Infiltratie
De bijlagen bij de e-mail zijn Microsoft OneNote-documenten die een bericht weergeven waarin staat dat het document beveiligd is. Vervolgens wordt gevraagd te dubbelklikken op de knop ‘Bekijken’ om het document correct weer te geven.
Als de gebruiker op de OK-knop klikt, wordt het ingesloten click.wsf VBScript-bestand uitgevoerd met WScript.exe uit de Temp-map van OneNote.
Emotet draait nu stilletjes op het apparaat, steelt e-mail en contacten en wacht op verdere opdrachten van de command-and-control server. Microsoft zal verbeterde bescherming in OneNote toevoegen tegen phishing-documenten, maar er is geen specifieke tijdlijn voor wanneer dit voor iedereen beschikbaar zal zijn.
Lees ook: Emotet-malware maakt een comeback
1 uur geleden
