Die Emotet-Malware hat ihre Taktik immer weiter verfeinert, um unter dem Radar zu bleiben, und fungiert gleichzeitig als Überträger für andere gefährliche Malware wie Bumblebee und IcedID.
Emotet, das Ende 2021 offiziell wieder auftauchte, nachdem die Behörden Anfang des Jahres seine Infrastruktur ausgehoben hatten, ist eine anhaltende Bedrohung, die über Phishing-E-Mails verbreitet wird.
Der Virus, der einer Cybercrime-Gruppe namens TA542 (auch bekannt als Gold Crestwood oder Mummy Spider) zugeschrieben wird, hat sich seit seinem ersten Auftauchen im Jahr 2014 von einem Banking-Trojaner zu einem Malware-Verteiler entwickelt.
Der Malware-as-a-Service (MaaS) ist außerdem modular aufgebaut und kann eine Reihe von proprietären und Freeware-Komponenten einsetzen, die sensible Informationen von kompromittierten Rechnern exfiltrieren und andere Aktivitäten nach der Ausbeutung durchführen können.
Zu den zwei jüngsten Ergänzungen im Modularsenal von Emotet gehören ein SMB-Spreader, der mit einer Liste von fest codierten Benutzernamen und Passwörtern die Seitwärtsbewegung erleichtert, und ein Kreditkartendiebstahlprogramm, das auf den Chrome-Webbrowser abzielt.
Bei den jüngsten Kampagnen des Botnets wurden generische Köder mit waffenfähigen Anhängen eingesetzt, um die Angriffskette in Gang zu setzen. Aber da Makros als Methode zur Verteilung der Nutzlast und zur Erstinfektion veraltet sind, haben sich die Angreifer andere Methoden zugelegt, um Emotet an den Malware-Erkennungstools vorbeizuschleusen.
„Bei der neuesten Welle von Emotet-Spam-E-Mails haben die angehängten .XLS-Dateien eine neue Methode, um die Benutzer dazu zu bringen, Makros zum Herunterladen des Droppers zuzulassen“, so BlackBerry in einem Bericht, der letzte Woche veröffentlicht wurde. „Darüber hinaus sind neue Emotet-Varianten von 32bit auf 64bit umgestiegen, eine weitere Methode, um der Entdeckung zu entgehen.
Die Methode besteht darin, die Opfer anzuweisen, die Microsoft Excel-Dateien in den Standard-Office-Vorlagenordner in Windows zu verschieben, ein Ort, dem das Betriebssystem vertraut, um bösartige Makros auszuführen, die in die Dokumente eingebettet sind, um Emotet zu übertragen.
Die Entwicklung deutet darauf hin, dass Emotet ständig versucht, sich umzurüsten und andere Malware, wie Bumblebee und IcedID, zu verbreiten.
„Emotet hat sich in den letzten mehr als acht Jahren stetig weiterentwickelt und ist in Bezug auf seine Umgehungstaktiken immer raffinierter geworden; er hat zusätzliche Module hinzugefügt, um sich weiter zu verbreiten, und verbreitet nun Malware über Phishing-Kampagnen“, so das Unternehmen.