Emotet is een van de gevaarlijkste, meest vindingrijke en langdurige malware-trojans die ooit heeft bestaan. In januari 2021 verstoorde een politieoperatie de Emotet-malware en zijn infrastructuur. Dit leidde ook tot de arrestatie van diverse threat actors die betrokken waren bij de malware. Na een onderbreking van bijna een jaar is de malware teruggekeerd in het dreigingslandschap. Een eerder rapport toont aan dat Emotet op zondag 14 november 2021 terugkeerde en werd verspreid via het TrickBot-botnet. Een recenter rapport toont aan dat het ook via e-mailcampagnes werd verspreid.
Bankfraude door Emotet
De Emotet-malware werd voor het eerst ontdekt in 2014 en richtte zich destijds op bankfraude In de afgelopen jaren sloeg de malware een nieuwe weg in en werd het een ‘access broker’ die toegang tot slachtoffers bood aan verschillende ransomware-groepen. In januari 2021 verstoorde een politieoperatie de Emotet-malware en bijbehorende infrastructuur en werden er enkele threat actors gearresteerd. Hierna verdween de malware voor bijna een jaar. Sommige beveiligingsonderzoekers dachten dat de dreiging voorgoed verdwenen was…
Overeenkomst met eerdere varianten
De nieuwe versie van de Emotet-malware lijkt in veel opzichten op de eerdere varianten. In Zscaler’s snelle analyse zijn enkele veranderingen waargenomen in de commando- en besturingsgegevens en de gebruikte versleuteling. Emotet lijkt ook HTTPS te gebruiken in plaats van gewoon HTTP voor command and control-communicatie. Het lijkt erop dat de meeste functionaliteiten hetzelfde zijn als eerdere varianten, en het zal waarschijnlijk verder gaan waar het was gebleven, waarbij initiële toegang tot de ransomware-operators wordt geboden.
Spamcampagnes
Zoals te zien is in de onderstaande schermafbeelding van spammail, begint Emotet met het gebruik van een ‘reply chain’-e-mailstrategie in hun spamcampagnes. Het gebruikt MS Word-document “.docm”, MS Excel “.xlsm” en wachtwoordbeveiligde “.zip”-bestanden als bijlagen.
Waarschuwing
Zscaler, die de nieuwe variant ontdekte, raadt gebruikers aan goed te letten op de afzender en bestanden. Pas altijd op met het openen en downloaden van documenten, bestanden en meer, zelfs als het lijkt alsof het van een bekende afzender afkomstig is.
