Na een onderbreking van drie maanden hervatte de malware-operatie van Emotet dinsdagochtend het verspreiden van gevaarlijke e-mails, terwijl het zijn infrastructuur en geïnfecteerde apparaten wereldwijd herstelde. E-mailbijlagen met geïnfecteerde versies van Microsoft Word en Excel zijn de belangrijkste vector voor het verspreiden van de beruchte Emotet-malware. De Emotet DLL wordt gedownload en in het geheugen geladen wanneer de gebruiker een van deze documenten opent met ingeschakelde macro’s.
Wanneer Emotet is geïnstalleerd, wacht het geduldig op verdere instructies van zijn C&C-server. Helaas keerde het terug.
Emotet-malware 2023
Het Emotet-botnet is opnieuw begonnen met het verzenden van e-mails, volgens waarschuwingen van het cyberbeveiligingsbedrijf Vertrouwen en Emotet-volgorganisatie Cryptolaemus.
Emotet ontwaakt
— Cryptolaemus (@Cryptolaemus1) 7 maart 2023
Volgens bevestiging van Cofense aan Piepende computerbegon de spamcampagne om 7:00 AM ET, met op dit moment relatief lage volumes.
“De eerste e-mail die we zagen was rond 7 uur EST. Het volume blijft op dit moment laag omdat ze doorgaan met herbouwen en nieuwe referenties verzamelen om te gebruiken en adresboeken te targeten.
-Cofensie
Hoe ziet de Emotet-malware eruit?
Hieronder ziet u een voorbeeld van hoe de bedreigingsactoren de tactieken van de vorige campagne veranderen door e-mails te sturen die op facturen lijken in plaats van antwoordketens.
Wanneer u een van deze e-mails opent, vindt u meestal een ZIP-bestand met Word-documenten die groter zijn dan 500 MB. Door onnodige gegevens op te nemen, vergroten ze de bestandsgrootte en maken ze detectie door antivirussoftware moeilijker.
Een “Red Dawn”-sjabloon van Emotet werd gebruikt om deze.docx-bestanden voor te bereiden, en lezers moeten inhoud inschakelen voordat ze kunnen worden bekeken. We raden u aan dit te doen niet klikken ben ermee bezig.
Weet je dat de Acer-hack is bevestigd? Hackers zetten 160GB aan bedrijfsdata te koop!
Microsoft redt de dag
Na recente wijzigingen die door Microsoft zijn aangebracht, is de huidige methode mogelijk niet erg succesvol omdat Emotet zijn netwerk opnieuw opbouwt.
Gedownloade Office-documenten van internet bevatten vanaf juli 2022 niet langer standaard macro’s.
Gebruikers worden nu begroet met een waarschuwing waarin wordt uitgelegd dat macro’s zijn uitgeschakeld omdat de oorsprong van het bestand niet kan worden geverifieerd wanneer ze een Emotet-document openen.
Met deze functie is het minder waarschijnlijk dat mensen die Emotet-e-mails ontvangen per ongeluk macro’s inschakelen, tenzij ze actief stappen ondernemen om dit te doen.
