image

Emotet-botnet verstuurt malafide doc-bestanden in nieuwe campagne

dinsdag 17 september 2019, 10:33 door Redactie, 19 reacties

Onderzoekers hebben een nieuwe spamcampagne van het Emotet-botnet ontdekt waarbij malafide doc-bestanden worden verstuurd. De doc-bestanden bevatten een kwaadaardige macro die wanneer ingeschakeld malware op het systeem downloadt. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren.

Vanwege de gevolgen en hoge kosten die bij het verwijderen van een Emotet-infectie komen kijken gaf de Amerikaanse overheid vorig jaar nog een waarschuwing voor de malware. Emotet wordt voornamelijk verspreid via e-mailbijlagen die een Word-document met een kwaadaardige macro bevatten. Ook komt het voor dat de e-mails naar het kwaadaardige document linken.

De laatste spamcampagne van het botnet vond zo'n vier maanden geleden plaats, aldus anti-malwarebedrijf Malwarebytes. Bij de nu ontdekte nieuwe campagne worden e-mails in het Duits, Engels, Italiaans en Pools verstuurd. De berichten gaan over nog niet betaalde rekeningen. Zodra gebruikers het meegestuurde doc-bestand openen verschijnt er een melding dat macro's moeten worden ingeschakeld. Volgens de melding van de criminelen is dit nodig om de werking van Microsoft Word te garanderen.

Wanneer de gebruiker macro's inschakelen wordt Emotet op het systeem gedownload. Vervolgens probeert de malware zich lateraal door het netwerk te verspreiden en allerlei wachtwoorden van applicaties te stelen. Emotet is in het verleden gebruikt om ransomware op besmette computers te installeren.

Image

Reacties (19)
17-09-2019, 10:37 door Ron625
Toch fijn, de gesloten standaarden van Microsoft..........
17-09-2019, 10:52 door Bitje-scheef
Het beste is MS Office documenten gewoon te blokken in de firewall/Email client.
17-09-2019, 11:01 door Anoniem
Door Bitje-scheef: Het beste is MS Office documenten gewoon te blokken in de firewall/Email client.

Daarmee creëer je bij de meeste organisaties een onwerkbare situatie. Intern kan je een prachtige oplossing hebben, extern moeten er vaak ook bestanden gedeeld worden en houtje touwtje via mail is dan toch best betrouwbaar.
17-09-2019, 11:22 door Anoniem
Door Ron625: Toch fijn, de gesloten standaarden van Microsoft..........
En wat heeft dit te maken met dit issue?

Door Bitje-scheef: Het beste is MS Office documenten gewoon te blokken in de firewall/Email client.
Macrodocumenten zeker, maar het nadeel is dat het ook via https gedownload kan worden. Dan is het in eens een stuk lastiger te doen. Al zijn er zeker nog mogelijkheden om het later te blockeren.
17-09-2019, 11:54 door Anoniem
Door Ron625: Toch fijn, de gesloten standaarden van Microsoft..........
Als men de specificaties openbaar had gemaakt met een open licentie dan waren de mogelijkheden en risico's precies hetzelfde geweest.

Het probleem hier is dat men in de jaren '90 enthousiast van documentformaten applicatieplatforms heeft gemaakt en daarbij veel te lang alleen stilstond bij wat voor mooie dingen je ermee kan en niet aan de risico's die dat oplevert.
17-09-2019, 12:02 door Bitje-scheef
Door Anoniem:
Door Bitje-scheef: Het beste is MS Office documenten gewoon te blokken in de firewall/Email client.

Daarmee creëer je bij de meeste organisaties een onwerkbare situatie. Intern kan je een prachtige oplossing hebben, extern moeten er vaak ook bestanden gedeeld worden en houtje touwtje via mail is dan toch best betrouwbaar.

Het delen van Ms Office documenten kan best op een andere manier. Dat het een minder fijne route voor de gebruikers kan betekenen, ja ben ik zeker met je eens. Maar veel is een kwestie van wennen.
17-09-2019, 12:16 door Anoniem
Door Ron625: Toch fijn, de gesloten standaarden van Microsoft..........
Hoe kan een open standaard helpen tegen social engineering (zoals te zien is op het plaatje)? Je kan ook prima macro's in ODF files opslaan en ze dan door de gebruiker laten uitvoeren.
17-09-2019, 12:43 door Anoniem
Door Bitje-scheef:
Door Anoniem:
Door Bitje-scheef: Het beste is MS Office documenten gewoon te blokken in de firewall/Email client.

Daarmee creëer je bij de meeste organisaties een onwerkbare situatie. Intern kan je een prachtige oplossing hebben, extern moeten er vaak ook bestanden gedeeld worden en houtje touwtje via mail is dan toch best betrouwbaar.

Het delen van Ms Office documenten kan best op een andere manier. Dat het een minder fijne route voor de gebruikers kan betekenen, ja ben ik zeker met je eens. Maar veel is een kwestie van wennen.
Die lossen alleen het probleem niet op. Filesharing techniek geeft het zelfde probleem.

Email werkt gewoon snel en gemakkelijk.
17-09-2019, 13:00 door Ron625
Door Anoniem:
Door Ron625: Toch fijn, de gesloten standaarden van Microsoft..........
En wat heeft dit te maken met dit issue?
Overheden en gesubsidieerde instellingen moeten communiceren in OpenStandaarden, ook onderling!
Doen ze dit niet, dan moet in het jaarverslag staan, waarom het niet mogelijk was, dit is de pas-toe-of-leg-uit verplichting.
Door als particulier, of bedrijf toch te werken met een gesloten Microsoft standaard, zet je de deur open voor dit soort ellende.
17-09-2019, 13:54 door Anoniem
Door Ron625:
Door Anoniem:
Door Ron625: Toch fijn, de gesloten standaarden van Microsoft..........
En wat heeft dit te maken met dit issue?
Overheden en gesubsidieerde instellingen moeten communiceren in OpenStandaarden, ook onderling!
Doen ze dit niet, dan moet in het jaarverslag staan, waarom het niet mogelijk was, dit is de pas-toe-of-leg-uit verplichting.
Door als particulier, of bedrijf toch te werken met een gesloten Microsoft standaard, zet je de deur open voor dit soort ellende.
Om de vraag van de andere anoniem te herhalen: wat heeft dit te maken met dit issue?

Dit gaat over malware die van doc-bestanden gebruikmaakt, niet over wat er mis is met dat formaat of wat overheden er al dan niet mee mogen. Ik vind het geweldig dat de overheid voor open standaards gaat, daar gaat het in dit artikel alleen niet over.
17-09-2019, 14:56 door Ron625 - Bijgewerkt: 17-09-2019, 14:59
Door Anoniem: Om de vraag van de andere anoniem te herhalen: wat heeft dit te maken met dit issue?

Dit gaat over malware die van doc-bestanden gebruikmaakt,
Dus over het nadeel van een gesloten standaard, of over iets dat niet mogelijk hoort te zijn met een via email verkregen document.
Een DOC (en DOCX) is nu eenmaal een gesloten standaard, dus noem ik het ook zo.
17-09-2019, 15:44 door Anoniem
Door Ron625:
Door Anoniem:
Door Ron625: Toch fijn, de gesloten standaarden van Microsoft..........
En wat heeft dit te maken met dit issue?
Overheden en gesubsidieerde instellingen moeten communiceren in OpenStandaarden, ook onderling!
Doen ze dit niet, dan moet in het jaarverslag staan, waarom het niet mogelijk was, dit is de pas-toe-of-leg-uit verplichting.
Sorry, je kunt dit herhalen, maar is alleen noodzakelijk voor officiële communicatie en de wereld gebruikt nu eenmaal iets anders. En dat is MS Office, iets wat iedereen en iedereen kent. Gebruik je iets anders (wat je volledig recht is), dan krijg je meestal vragen hierover of het niet gewoon in Microsoft formaten gestuurd kan worden.

Door als particulier, of bedrijf toch te werken met een gesloten Microsoft standaard,
Je bedoelt de standaard die eigenlijk bijna ieder bedrijf of particulier gebruikt?

zet je de deur open voor dit soort ellende.
En open standaarden bevatten geen problemen? Ook daarin kunnen gewoon macro's verwerkt worden. Dus lost niets op in dit probleem.
17-09-2019, 16:04 door Anoniem
Door Ron625:
Door Anoniem: Om de vraag van de andere anoniem te herhalen: wat heeft dit te maken met dit issue?

Dit gaat over malware die van doc-bestanden gebruikmaakt,
Dus over het nadeel van een gesloten standaard, of over iets dat niet mogelijk hoort te zijn met een via email verkregen document.
Dan gebruiken we een openstandaard heb hebben we de zelfde mogelijke ellende. PDF bijvoorbeeld....

Een DOC (en DOCX) is nu eenmaal een gesloten standaard, dus noem ik het ook zo.
Docx is ook een open staandaard, het is alleen niet de standaard. Het is gewoon beschreven en openbaar.

DOC is legacy, net zoals ODF oude formaten.
17-09-2019, 16:06 door Anoniem
Door Ron625: Toch fijn, de gesloten standaarden van Microsoft..........
Is gewoon XML, Pak een docx maar eens uit met een zip programma, dan kom je XML tegen. Maar ik begrijp dat jij vind dat ZIP en XML een MS standaard is.
17-09-2019, 16:39 door Ron625
Door Anoniem:
Door Ron625: Toch fijn, de gesloten standaarden van Microsoft..........
Is gewoon XML, Pak een docx maar eens uit met een zip programma, dan kom je XML tegen. Maar ik begrijp dat jij vind dat ZIP en XML een MS standaard is.
Bekijk eens wanneer iets een openstandaard is, volgens de EU regels!
1. De standaard is geadopteerd en zal worden onderhouden en gehandhaafd door een non-profitorganisatie op basis van openlijk toegankelijke besluitvorming-procedures voor alle geïnteresseerde partijen, op democratische grondslag;
2. De standaard is gepubliceerd en over de specificaties kan vrijelijk, of tegen een nominale bijdrage, worden beschikt;
3. Het intellectueel eigendom van, en mogelijke patenten op de gehele standaard of delen daarvan, zijn onherroepelijk vrijgesteld van licentierechten;
4. Er zijn geen beperkingen omtrent het hergebruik van de standaard.

Punt 1: Microsoft heeft een veto, dus kan het geen OpenStandaard zijn.
Punt 3: Zie punt 1, dus geen OpenStandaard.
Bron: Rijksoverheid, Logius, Forumstandaardisate, Nora, enz.
17-09-2019, 18:15 door Anoniem
Door Ron625:
Door Anoniem:
Door Ron625: Toch fijn, de gesloten standaarden van Microsoft..........
Is gewoon XML, Pak een docx maar eens uit met een zip programma, dan kom je XML tegen. Maar ik begrijp dat jij vind dat ZIP en XML een MS standaard is.
Bekijk eens wanneer iets een openstandaard is, volgens de EU regels!
1. De standaard is geadopteerd en zal worden onderhouden en gehandhaafd door een non-profitorganisatie op basis van openlijk toegankelijke besluitvorming-procedures voor alle geïnteresseerde partijen, op democratische grondslag;
2. De standaard is gepubliceerd en over de specificaties kan vrijelijk, of tegen een nominale bijdrage, worden beschikt;
3. Het intellectueel eigendom van, en mogelijke patenten op de gehele standaard of delen daarvan, zijn onherroepelijk vrijgesteld van licentierechten;
4. Er zijn geen beperkingen omtrent het hergebruik van de standaard.

Punt 1: Microsoft heeft een veto, dus kan het geen OpenStandaard zijn.
Punt 3: Zie punt 1, dus geen OpenStandaard.
Bron: Rijksoverheid, Logius, Forumstandaardisate, Nora, enz.
Okee in jou wereld is TCP/IP ook geen openstandaard, want Windows gebruikt het.
17-09-2019, 22:07 door Ron625
Door Anoniem:Okee in jou wereld is TCP/IP ook geen openstandaard, want Windows gebruikt het.
Blijkbaar is lezen moeilijk, lees eens: https://www.forumstandaardisatie.nl/open-standaarden dan leer je misschien iets.
18-09-2019, 11:59 door Bitje-scheef
Door Anoniem:
Door Bitje-scheef:
Door Anoniem:
Door Bitje-scheef: Het beste is MS Office documenten gewoon te blokken in de firewall/Email client.

Daarmee creëer je bij de meeste organisaties een onwerkbare situatie. Intern kan je een prachtige oplossing hebben, extern moeten er vaak ook bestanden gedeeld worden en houtje touwtje via mail is dan toch best betrouwbaar.

Het delen van Ms Office documenten kan best op een andere manier. Dat het een minder fijne route voor de gebruikers kan betekenen, ja ben ik zeker met je eens. Maar veel is een kwestie van wennen.
Die lossen alleen het probleem niet op. Filesharing techniek geeft het zelfde probleem.

Email werkt gewoon snel en gemakkelijk.

Dit lost zeker wel een groot gedeelte van het probleem op aangezien, heel veel malware/phishing gebruikt maakt van Ms Office files met macros. Welke dan niet zomaar binnenkomen, zoals Emotet mailtjes. 90% van die emails zijn directe MsOffice documenten. Dat het niet alles afdekt, ja dat klopt.
20-09-2019, 07:54 door Anoniem
Door Bitje-scheef:
Dit lost zeker wel een groot gedeelte van het probleem op aangezien, heel veel malware/phishing gebruikt maakt van Ms Office files met macros. Welke dan niet zomaar binnenkomen, zoals Emotet mailtjes. 90% van die emails zijn directe MsOffice documenten. Dat het niet alles afdekt, ja dat klopt.
Kortetermijn vissie....
En wat lost dat precies op? Zullen er dan geen expoits voor komen? PDF heeft het zelfde probleem. Er was ook periode dat er veel js files als virussen binnen kwamen.

Voordeel is dat het odf formaat bijna niet gebruikt wordt, dus aanvallen weinig nut heeft aan gezien er te weinig impact is. Als het een ander formaat zou worden, komen de aanvallen vanzelf.

Als de markt groot genoeg is, komen de aanvallen vanzelf
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.