Het Emotet-botnet komt weer tot leven
Een van de grootste botnets werd ontwricht en stilgelegd tijdens een internationale rechtshandhavingsoperatie die begin 2021 plaatsvond. Nu, meer dan een jaar later, vertoont hetzelfde botnet opnieuw tekenen van leven, en het lijkt erop dat het wat is gegroeid nieuwe horens en stekels in de tijd dat het sluimerde. Het botnet in kwestie is het beruchte Emotet- botnetwerk - een web van gecompromitteerde apparaten die voor verschillende kwaadaardige doeleinden worden gebruikt.
Wat is Emotet?
Een botnet kan worden gebruikt voor een aantal kwaadaardige taken door de partij die de gecompromitteerde apparaten of "bots" beheert. In het geval van Emotet werd het netwerk gebruikt om malware te verspreiden en werden bots verhuurd aan andere kwaadwillenden, vergelijkbaar met het ransomware-as-a-service-model, waarbij alleen toegang tot de gecompromitteerde apparaatinfrastructuur werd verkocht.
Nu heeft een onderzoeksteam met beveiligingsbedrijf Proofpoint "emotet-activiteit met een klein volume" geïdentificeerd en beschreven als "drastisch" anders dan de normale manier waarop het Emotet-botnet werd beheerd.
Emotet wordt nu verspreid via e-mailcampagnes. De e-mailadressen waarvan de kwaadaardige berichten afkomstig zijn, lijken volgens onderzoekers te zijn gecompromitteerd, omdat de Emotet-spammodule niet werd gebruikt om ze naar de ontvangers te sturen.
Nieuwe kwaadaardige e-mailcampagne verspreidt Emotet
De e-mails waren eenvoudig van structuur - onderwerpreeksen van één woord, zoals 'Salaris'. Dit is een eenvoudige maar effectieve truc om de aandacht van het slachtoffer te trekken en de gebruiker door te laten klikken op wat er in de e-mail staat. In dit geval bevatten de e-mails slechts één enkele link naar OneDrive.
De OneDrive-links verwijzen naar MS Excel XLL-bestanden, geplaatst in een zip-archief. De archiefbestanden en het daarin opgenomen Excel-document hebben allemaal dezelfde naam als het onderwerp van de mail. In het voorbeeld van Proofpoint kreeg het archief de naam "Salary_new.zip" en het Excel-bestand erin - "Salary_and_bonuses-04.01.2022.xll".
Zodra de gebruiker het Excel-bestand uitpakt en probeert het te openen, wordt Emotet verwijderd en geïmplementeerd.
Gezien het kleinschalige karakter van de campagne, in tegenstelling tot de gebruikelijke grootschalige agressieve spambenadering die eerder door Emotet werd gebruikt, denken onderzoekers dat de malware-operators nieuwe benaderingen en technieken testen en nieuwe manieren testen om geautomatiseerde detectie te voorkomen.