Die Emotet-Malware-Operation hat ihre Taktik weiter verfeinert, um unter dem Radar zu bleiben, und fungiert gleichzeitig als Kanal für andere gefährliche Malware wie Bumblebee und IcedID.
Emotet, das Ende 2021 nach einer koordinierten Zerschlagung seiner Infrastruktur durch die Behörden Anfang des Jahres offiziell wieder auftauchte, ist weiterhin eine anhaltende Bedrohung, die über Phishing-E-Mails verbreitet wird.
Der Virus, der einer Cyberkriminellengruppe mit dem Namen TA542 (auch bekannt als Gold Crestwood oder Mummy Spider) zugeschrieben wird, hat sich seit seinem ersten Auftauchen im Jahr 2014 von einem Banking-Trojaner zu einem Malware-Verteiler entwickelt.
Der Malware-as-a-Service (MaaS) ist außerdem modular aufgebaut und kann eine Reihe von proprietären und Freeware-Komponenten bereitstellen, die sensible Informationen von kompromittierten Computern exfiltrieren und andere Aktivitäten nach der Exploitation durchführen können.
Zu den beiden jüngsten Ergänzungen im Modularsenal von Emotet gehören ein SMB-Spreader, der mithilfe einer Liste von hart kodierten Benutzernamen und Passwörtern die Seitwärtsbewegung erleichtern soll, und ein Kreditkartendieb, der auf den Chrome-Webbrowser abzielt.
Bei den jüngsten Kampagnen mit dem Botnet wurden generische Köder mit waffenfähigen Anhängen eingesetzt, um die Angriffskette in Gang zu setzen. Da Makros jedoch eine veraltete Methode zur Verteilung von Nutzdaten und zur Erstinfektion sind, haben sich die Angreifer andere Methoden zu Nutze gemacht, um Emotet an Malware-Erkennungstools vorbeizuschleusen.
„Bei der neuesten Welle von Emotet-Spam-E-Mails verfügen die angehängten .XLS-Dateien über eine neue Methode, um Benutzer dazu zu verleiten, Makros zum Herunterladen des Droppers zuzulassen“, so BlackBerry in einem Bericht, der letzte Woche veröffentlicht wurde. „Darüber hinaus sind neue Emotet-Varianten jetzt von 32bit auf 64bit umgestiegen, eine weitere Methode, um die Erkennung zu umgehen.“
Bei dieser Methode werden die Opfer angewiesen, die Microsoft Excel-Dateien in den Standard-Office-Vorlagen-Ordner in Windows zu verschieben, ein Ort, dem das Betriebssystem vertraut, um bösartige Makros auszuführen, die in die Dokumente eingebettet sind, um Emotet zu übertragen.
Die Entwicklung deutet darauf hin, dass Emotet immer wieder versucht, sich umzurüsten und andere Malware wie Bumblebee und IcedID zu verbreiten.
„Emotet hat sich in den letzten mehr als acht Jahren stetig weiterentwickelt und ist immer raffinierter geworden, was seine Umgehungstaktiken angeht. Er hat zusätzliche Module hinzugefügt, um sich weiter zu verbreiten, und verbreitet jetzt Malware über Phishing-Kampagnen“, so das Unternehmen.
Sie fanden diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Gartner: Zero Trust wird mehr als die Hälfte der Angriffe nicht abwehren