Emotet

Emotet startede som en bank-trojan for nogle fem år siden, men er blevet så meget mere. I dag er det blevet en af de farligste botnets og malware-droppers-til-leje i verden. For fuldt ud at tjene penge på angrebene, dropper Emotet ofte nye bank-trojanere, e-mail-høstere, selvudbredelsesmekanismer, informationsstealere og endda ransomware.

Sikkerhedsforskere bemærkede, at trusselsaktørerne bag Emotet tog en sommerferie, der startede i juni 2019, hvor endda kommando- og kontrolaktiviteterne (C2) stoppede. Da sommermånederne begyndte at komme til deres slutning, begyndte sikkerhedsforskere imidlertid at se en stigning i aktiviteten af Emotets C2-infrastruktur. Fra 16. september 2019 er Emotet allerede i fuldt udstyr med en genopfrisket spam-kampagne, der er afhængig af social engineering.

Emotet er rettet mod computerbrugere gennem lokkende e-mail-kampagner

En af de mest geniale og truende måder, hvorpå Emotet-inficerede ofre var gennem stjålet e-mail-indhold. Malware vil skubbe et offer's indbakke og kopiere eksisterende samtaler, som det derefter vil bruge i sine egne e-mails. Emotet citerer ligene af virkelige meddelelser i et "svar" på et offer's ulæste e-mail, i et forsøg på at narre dem til at åbne en vedhæftet fil med tilknyttet malware, normalt i form af et Microsoft Word-dokument.

Det kræver ikke meget fantasi at se, hvordan nogen, der forventer svar på en igangværende samtale, kunne narre på denne måde. Ved at efterligne eksisterende e-mail-samtaler, inklusive ægte e-mail-indhold og Emneoverskrifter, bliver meddelelserne endvidere meget mere randomiserede og udfordrende at filtrere efter anti-spam-systemer.

Det, der er interessant, er, at Emotet ikke bruger den e-mail, hvorfra den stjal indhold, for at sende den til et potentielt offer. I stedet sender den den løftede samtale til en anden bot i netværket, der derefter sender e-mailen fra et helt andet sted ved hjælp af en helt separat udgående SMTP-server.

Ifølge sikkerhedsforskere brugte Emotet stjålne e-mail-samtaler i ca. 8,5 procent af angrebsmeddelelser før dets sommerhiatus. Da feriesæsonen er afsluttet, er denne taktik imidlertid blevet mere fremtrædende og tegner sig for næsten en fjerdedel af al Emotets udgående e-mail-trafik.

Cybercrooks gearing Emotet til at stjæle personlige data

Værktøjerne til rådighed for cybercrooks, der ønsker at stjæle personlige oplysninger fra computere, er næsten uendelige. Det sker lige så, at Emotet er en type malware-trussel, der er yderst effektiv til at udnytte på en måde at starte massespam-e-mail-kampagner, der spreder malware designet til at stjæle data fra en intetanende computerbruger. Den måde, hvorpå Emotet fungerer, er at åbne en bagdør for andre højrisiko-computertrusler, såsom Dridex-trojanhesten, som specifikt er designet til at stjæle data fra en computerbruger ved hjælp af aggressive phishing-teknikker.

Når det bruges af den rigtige type hacker eller cybercrook, kan Emotet bruges på en måde til at infiltrere en computer til at indlæse og installere flere malware-trusler. Alligevel kan de ekstra installerede trusler være mere farlige, hvor de kan oprette forbindelse til kommandoer og kontrol (C&C) servere for at downloade instruktioner til at udføre på det inficerede system.

Effekten af Emotet bør aldrig tages let

I alle tilfælde af en malware-trussel så vidtgående som Emotet, bør computerbrugere tage de nødvendige forholdsregler for at forhindre et angreb fra sådan. På flip side vil dem, der er angrebet af Emotet, ønsker at finde den nødvendige ressource til sikkert at opdage og fjerne truslen. Hvis man tillader Emotet at køre på en computer i en længere periode, øges risikoen for at få data ekspederet eksponentielt.

Computerbrugere, der kan forsinke med at eliminere Emotet eller tage de rette forholdsregler, sætter deres personlige data, der er gemt på deres pc, i fare, hvilket kan føre til alvorlige problemer som identitetstyveri. Desuden er Emotet en vanskelig trussel at opdage, som er en proces, der primært udføres af en opdateret antimalware-ressource eller -program.

Computibrugere skal til enhver tid være forsigtige, når de åbner e-mails med vedhæftede filer, specifikt dem, der indeholder vedhæftede filer i form af Microsoft Word-dokumenter, som er kendt for at være en metode, som Emotet bruger til at sprede malware.

Emotets tilbagevenden

På et tidspunkt i 2019 var Emotets kommando- og kontrolserver lukkede, hvilket efterlader systemer inficeret af truslen fri for at være under kontrol af gerningsmændene bag Emotet. Dog ikke alt for hurtigt efter lukningen af C & C-serverne kom Emotet tilbage fra de døde, hvor hackere ikke kun fik kontrol over Emotet, men de bruger legitime websteder til at sprede truslen via spam-kampagner ved først at hacking webstederne.

Emotets udviklere har angiveligt målrettet omkring 66.000 e-mail-adresser til over 30.000 domænenavne, mange af disse domæner tilhører legitime websteder, der blev hacket. Nogle af de legitime websteder, der er angrebet af skaberne af Emotet, er følgende:

• biyunhui [.] dk
• broadpeakdefense [.] dk
• charosjewellery [.] co.uk
• customernoble [.] dk
• holyurbanhotel [.] dk
• keikomimura [.] dk
• lecairtravels [.] dk
• mutlukadinlarakademisi [.] dk
• nautcoins [.] dk
• taxolabs [.] dk
• think1 [.] dk

Grundlæggende vil vi se en stigning i malware-infektioner, så sikre, at tiden skrider frem. Som forskere fra Cisco Talos bemærkede: "Når en trusselgruppe går stille, er det usandsynligt, at de vil være væk for evigt." procedurer eller nye malware-varianter, der kan undgå eksisterende detektion. "

SpyHunter registrerer og fjerner Emotet

Emotet Skærmbilleder