Emotet Malware bruger amerikanske valgkampagner som lokkemad

Det berygtede malware-distributionskøretøj Emotet har været i drift i lidt over to måneder efter en lang pause tidligere i år. Emnelinjen i en af de nyeste bølger af Emotet-e-mails er "Team Blue Take Action", og det er også navnet på den ondsindede filvedhæftning.

E-mailens brødtekst indeholder tekster, der er taget ord for ord fra sider på webstedet for det demokratiske nationale udvalg. Det eneste originale indhold er en linje, der beder læseren om at åbne den vedhæftede fil.

Eksempel på ondsindet e-mail med Emotet-inficeret vedhæftet fil - Kilde: Proofpoint.com

Filen er et orddokument, der indeholder en ondsindet makro. Hvis modtageren forsøger at åbne den, bliver de bedt om at aktivere makroer, medmindre makroer tidligere er aktiveret. Når makroer får lov til at køre, downloades Emotet, og det inficerer enheden. Denne Emotet-kampagne ser ud til at bære Qbot "partner01" og The Trick som nyttelast til næste trin.

Forskere fra Proofpoint har også observeret andre emnelinjer med tilsvarende vedhæftede filnavne, der blev brugt i den aktuelle Emotet-kampagne:

• Valanters 2020
• Detaljeret information
• Liste over værker
• Frivillig
• Information

Den vigtigste infektionsvektor for Emotet har altid været phishing-kampagner, der udnytter dagens populære emner. Så det at se cyberkriminelle bruge præsidentvalget som agn direkte efter den første debat, burde ikke komme som en overraskelse, bortset fra at Emotet ikke havde brugt politiske temaer i phishing-kampagner før.

Emotets operatører tog en pause på fem måneder fra marts til juli 2020. Siden de har været tilbage har Emotet været det dominerende værktøj til distribution af malware . Denne hektiske aktivitet har tiltrukket sig stor opmærksomhed fra cybersikkerhedssamfundet. Mindst fem nationale beredskabsteams fra hele verden har udsendt advarsler om Emotet i de sidste par måneder. Emotet viser ikke nogen tegn på at bremse ned i overskuelig fremtid.