Nieuws
image

Emotet-malware gebruikt e-mailbijlagen slachtoffers voor nieuwe aanvallen

woensdag 29 juli 2020, 10:39 door Redactie, 7 reacties

Er is een nieuwe versie van de Emotet-malware ontdekt die e-mailbijlagen van slachtoffers gebruikt voor nieuwe aanvallen, alsmede contactlijsten steelt. Naast nieuwe besmettingen kan dit ook tot datalekken leiden. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is.

Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties.

Onder andere de Ryuk-ransomware zou via initiële Emotet-infecties binnen bedrijven worden verspreid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, bestempelde Emotet eerder al tot de gevaarlijkste malware ter wereld.

Vorig jaar werd er een versie ontdekt die meelifte op eerdere e-mails van al geïnfecteerde slachtoffers om zo nieuwe slachtoffers te maken. Zo werd de inhoud van het oorspronkelijke bericht aan de kwaadaardige e-mail toegevoegd, aangevuld met een tekst en link die naar de malware wijst. De nieuwe versie maakt nu ook gebruik van e-mailbijlagen van eerdere e-mails.

Die worden naar nieuwe slachtoffers gestuurd, aangevuld met een link die naar een document met de Emotet-malware wijst, zo melden beveiligingsonderzoeker Marcus Hutchins en securitybedrijf Cofense. Tevens kan de nieuwe versie ook e-mailcontent en contactlijsten stelen. Door het toevoegen van bijlagen zou het bericht authentieker moeten overkomen. Ook zou het detectie van malafide e-mails lastiger maken. Het gebruik van e-mailbijlagen van slachtoffers kan daarnaast tot datalekken leiden, aangezien aanvallers hier toegang toe hebben gehad en die bij personen terecht kunnen komen voor wie ze niet bedoeld zijn.

Vorige week werd bekend dat het Emotet-botnet na een periode van vijf maanden weer actief was geworden. De documenten waarvan Emotet gebruikmaakt bevatten instructies voor de ontvanger om macro's in te schakelen, waarna Emotet op het systeem wordt geïnstalleerd. Eenmaal actief installeren de nieuwe Emotet-versies een exemplaar van de Qakbot.

Image

Reacties (7)
29-07-2020, 10:57 door Anoniem
Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen
wat voor systemen?
29-07-2020, 11:33 door Anoniem
Door Anoniem:
Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen
wat voor systemen?
Computersystemen :) , waar je mailprogramma op draait.
29-07-2020, 14:19 door Anoniem
Emotet wordt ook gelanceerd van gecompromitteerde Word Press websites.
Daar draait dan bijvoorbeeld een verouderde versie van dit CMS - versie 4.3.1
Verouderde end of life PHP PHP/5.4.45, krijgt geen updates meer.
Verouderde plug-ins als wordpress-seo 3.4 en contact-form-plugin 4.1.8
User enumeration niet op disabled gezet - admin admin & Managed WordPress Migration User

Dit soort websites wordt voor het verspreiden van emotet misbruikt.

luntrus
30-07-2020, 08:04 door Bitje-scheef
Mag ik hier nogmaals een pleidooi doen om nu eens MSOffice documenten per email te verbieden! Voor mijn part ook andere office pakketten. Schakel het gewoon uit, blokkeer het. Deel bestanden op een andere manier.

Hiermee reduceer je in één klap gewoon 90% van de mogelijke besmettingen. Ms Office is gewoon gatenkaas en niet veilig te krijgen, ook niet met gecertificeerde macro's (één der alternatieven).
30-07-2020, 11:50 door souplost
Door Bitje-scheef: Mag ik hier nogmaals een pleidooi doen om nu eens MSOffice documenten per email te verbieden! Voor mijn part ook andere office pakketten. Schakel het gewoon uit, blokkeer het. Deel bestanden op een andere manier.

Hiermee reduceer je in één klap gewoon 90% van de mogelijke besmettingen. Ms Office is gewoon gatenkaas en niet veilig te krijgen, ook niet met gecertificeerde macro's (één der alternatieven).
Nog meer beperkingen. Dat is Symptoombestrijding en vangt niet eens 90% af. Om te beginnen moet je de drive-by download infectie oplossen. Daarvoor hoef de gebruiker alleen maar een kwaadaardige website te bezoeken. Niks emailaanhangsel. Het betekent in ieder geval patchen en gebruikers geen admin rechten geven. Dan zou ik eerder een werkplek de internettoegang ontzeggen als deze niet is gepatcht of een ander desktopbesturingssyteem gebruiken. Doen Google en IBM ook.
30-07-2020, 12:32 door Bitje-scheef
Nog meer beperkingen. Dat is Symptoombestrijding en vangt niet eens 90% af. Om te beginnen moet je de drive-by download infectie oplossen. Daarvoor hoef de gebruiker alleen maar een kwaadaardige website te bezoeken. Niks emailaanhangsel. Het betekent in ieder geval patchen en gebruikers geen admin rechten geven. Dan zou ik eerder een werkplek de internettoegang ontzeggen als deze niet is gepatcht of een ander desktopbesturingssyteem gebruiken. Doen Google en IBM ook.

Nee praktisch bezig zijn. De meeste besmettingen zijn niet drive-by, maar gewoon per email. Emotet wordt in stages geinstalleerd. Lokale adminrechten worden gewoon omzeild.
30-07-2020, 13:00 door souplost - Bijgewerkt: 30-07-2020, 13:01
Door Bitje-scheef:
Nog meer beperkingen. Dat is Symptoombestrijding en vangt niet eens 90% af. Om te beginnen moet je de drive-by download infectie oplossen. Daarvoor hoef de gebruiker alleen maar een kwaadaardige website te bezoeken. Niks emailaanhangsel. Het betekent in ieder geval patchen en gebruikers geen admin rechten geven. Dan zou ik eerder een werkplek de internettoegang ontzeggen als deze niet is gepatcht of een ander desktopbesturingssyteem gebruiken. Doen Google en IBM ook.

Nee praktisch bezig zijn. De meeste besmettingen zijn niet drive-by, maar gewoon per email. Emotet wordt in stages geinstalleerd. Lokale adminrechten worden gewoon omzeild.
Email is maar een transport middel. Bestanden op een andere manier delen levert hetzelfde kwaadaardige bestand op.
Ben wel van mening dat email niet bedoeld is (daarom ook niet efficiënt) om binaire bestanden te versturen. Dat heeft ook al veel ellende opgeleverd met uitwisseling tussen diverse systemen (tnef, winmail.dat etc). Maar goed dan krijg je via email een link naar hetzelfde bestand. Dan zou ik alle bijlagen verbieden (in plaatjes zit tegenwoordig ook slimme malware), voorkomt ook veel heen en weer gesleur en opslag van extra gedupliceerde data. Daar hebben we nu ook hele slimme software voor nodig om data duplicatie te voorkomen.
Kortom ik ben het met je eens maar om een andere reden. Er zijn ook bedrijven en thuisgebruikers die helemaal geen email meer gebruiken. Persoonlijk gebruik ik alleen maar plain tekst email en geen html of leveranciergebonden formaten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure