Af Eskil Sørensen, 09/03/23
Emotet malware er tilbage igen efter tre måneders pause. Det skriver Bleeping Computer på baggrund af oplysninger om fra cybersikkerhedsfirmaet Cofense, der ved hjælp af en særlig Emotet sporingsgruppe har observeret, at der igen er begyndt at blive sendt Emotet-emails ud.
Formålet med det er at genopbygge netværket og inficere enheder rundt omkring i verden.
Emotet er en malware, der distribueres via e-mail, som indeholder ondsindede vedhæftede filer i Microsoft Word og Excel. Når brugere åbner dokumenterne, aktiveres makroer, og Emotet vil blive downloadet og indlæst i hukommelsen. Herefter vil malwaren blot afvente instruktioner fra en ekstern command- and controlserver.
I forlængelse af dette vil malwaren stjæle e-mails og kontakter, som kan bruges i fremtidige Emotet-kampagner. Et andet scenarie er, at der leveres payloads såsom Cobalt Strike eller anden malware, der kan føre til ransomware-angreb, skriver Bleeping Computer.
Emotet har tidligere været forsøgt bremset, senest der blev observeret en Emotet spamkampagne var i november sidste år.
I denne omgang bruger afsenderne ifølge Bleeping Computer e-mails, der foregiver at være fakturaer. De ligger i vedhæftede ZIP-filer, der indeholder over 500 MB store Word-dokumenter, som efter det oplyste er ’polstret med ubrugte data’. Formålet med det er at gøre filerne større og svære for antivirusløsninger at scanne og registrere dem som ondsindede.
Word-dokumenter bruger en særlig Emotet-dokumentskabelon. Denne beder brugerne om at aktivere indhold på dokumentet for at se det korrekt. Dokumenterne indeholder ’et rod af makroer’, der vil downloade Emotet-indlæseren som en DLL fra kompromitterede websteder, hvoraf mange er hackede WordPress-blogs. Når det er downloadet, vil Emotet blive gemt i en tilfældigt navngivet mappe under %LocalAppData% og lanceret ved hjælp af regsvr32.exe, fremgår det af Bleeping Computer.
Og så er den inde.
Links:
https://www.bleepingcomputer.com/news/security/emotet-malware-attacks-re...