Gevaarlijke malware-trojan Emotet is teruggekeerd

Amsterdam, 17 november 2021 – Emotet is een van de gevaarlijkste, meest vindingrijke en langdurige malware-trojans die ooit heeft bestaan. In januari 2021 verstoorde een politieoperatie de Emotet-malware en zijn infrastructuur. Dit leidde ook tot de arrestatie van diverse threat actors die betrokken waren bij de malware. Na een onderbreking van bijna een jaar is de vindingrijke malware Emotet teruggekeerd naar het dreigingslandschap. Een eerder rapport toont aan dat Emotet op zondag 14 november 2021 terugkeerde en werd verspreid via het TrickBot-botnet. Een recenter rapport toont aan dat het ook via e-mailcampagnes werd verspreid.

De Emotet-malware werd voor het eerst ontdekt in 2014 en richtte zich destijds op bankfraude. Het ThreatLabz-onderzoeksteam van Zscaler houdt de Emotet-malware sinds die tijd voortdurend in de gaten. In de afgelopen jaren sloeg Emotet een nieuwe weg in en werd het een ‘access broker’ die toegang tot slachtoffers bood aan verschillende ransomware-groepen. In januari 2021 verstoorde een politieoperatie de Emotet-malware en bijbehorende infrastructuur en werden er enkele threat actors gearresteerd. Hierna verdween de malware voor bijna een jaar. Sommige beveiligingsonderzoekers dachten dat Emotet voorgoed verdwenen was…

Hoewel de technische analyse van het ThreatLabz-team voor de betrokken payloads nog aan de gang is, lijkt de nieuwe versie van de Emotet-malware in veel opzichten op de eerdere varianten. In Zscaler’s snelle analyse zijn enkele veranderingen waargenomen in de commando- en besturingsgegevens en de gebruikte versleuteling. Emotet lijkt ook HTTPS te gebruiken in plaats van gewoon HTTP voor command and control-communicatie. Het lijkt erop dat de meeste functionaliteiten hetzelfde zijn als eerdere varianten, en het zal waarschijnlijk verder gaan waar het was gebleven, waarbij initiële toegang tot de ransomware-operators wordt geboden.
Spamcampagnes
Zoals we kunnen zien aan de onderstaande schermafbeelding van spammail, begint Emotet met het gebruik van een ‘reply chain’-e-mailstrategie in hun spamcampagnes. Het gebruikt MS Word-document “.docm”, MS Excel “.xlsm” en wachtwoordbeveiligde “.zip”-bestanden als bijlagen.

Zscaler publiceerde een blogpost waarin de bevindingen over de Emotet-malware verder worden uitgelegd.
Waarschuwing
Zscaler raadt gebruikers aan goed te letten op de afzender en bestanden. Pas altijd op met het openen en downloaden van documenten, bestanden en meer, zelfs als het lijkt alsof het van een bekende afzender afkomstig is.

Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. De Zscaler Zero Trust Exchange beschermt duizenden klanten van cyberaanvallen en dataverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verveeld over meer dan 150 datacenters wereldwijd is de op SASE-gebaseerde Zero Trust Exchange het grootste inline cloud security-platform ter wereld.