Het Emotet-botnet, dat eerder dit jaar nog door ingrijpen van de Nederlandse en Duitse politie van een miljoen computers werd verwijderd, is weer terug aan het komen en begonnen met het versturen van malafide documenten om nieuwe slachtoffers te maken, zo melden verschillende beveiligingsonderzoekers en securitybedrijven waaronder G Data en Proofpoint.
De onderzoekers zagen afgelopen zondag hoe op verschillende systemen die met de TrickBot-malware zijn besmet de Emotet-malware werd geïnstalleerd. TrickBot is in het verleden vaker gebruikt voor het installeren van aanvullende malware, zoals ransomware. Nu wordt TrickBot ingezet voor de opbouw van een nieuw Emotet-botnet. Inmiddels versturen de nieuwe met Emotet besmette machines e-mails met malafide e-mailbijlagen.
Het gaat dan om Word- en Excel-bestanden die van malafide macro's zijn voorzien. Wanneer de ontvangers macro's inschakelen wordt Emotet op het systeem geïnstalleerd. Om ervoor te zorgen dat potentiële slachtoffers het document openen lift Emotet mee op eerdere e-mails die al geïnfecteerde slachtoffers hebben verstuurd. Zo wordt de inhoud van het oorspronkelijke bericht aan de kwaadaardige e-mail toegevoegd, aangevuld met een tekst en link die naar de malware wijst. Deze tactiek paste Emotet in het verleden al toe en is nu opnieuw uit de kast gehaald.
Eenmaal actief op een systeem kan Emotet aanvullende malware installeren en allerlei gegevens stelen, zoals wachtwoorden van e-mailaccounts. Deze inloggegevens gebruikt de malware onder andere om zichzelf naar contacten van het slachtoffer te sturen. Bij de internationale politieoperatie eerder dit jaar kregen opsporingsdiensten toegang tot de servers van het botnet, waarop inloggegevens van 4,2 miljoen e-mailadressen stonden. De Nederlandse politie ontwikkelde een Emotet-checker waarmee gebruikers kunnen controleren of hun e-mailaccount is gecompromitteerd.
Abuse.ch, een platform dat zich bezighoudt met de bestrijding van botnets, heeft ip-adressen gepubliceerd van Emotet-servers en roept organisaties op om die te blokkeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.