Die Bedrohungsakteure, die hinter dem weit verbreiteten Emotet-Botnet stehen, testen neue Angriffsmethoden in kleinem Maßstab, bevor sie diese in ihre groß angelegten Malspam-Kampagnen einbauen. Möglicherweise ist dies eine Reaktion auf die Entscheidung von Microsoft, VBA-Makros (Visual Basic for Applications) in seinen Produkten standardmäßig zu deaktivieren.
Proofpoint bezeichnete die neuen Aktivitäten als „Abweichung“ vom typischen Verhalten der Gruppe und äußerte die Vermutung, dass die jüngsten Phishing-E-Mails, die die Malware verbreiten, zeigen, dass die Betreiber jetzt „selektivere und begrenztere Angriffe parallel zu den typischen massiven E-Mail-Kampagnen durchführen“.
Emotet, das Werk einer Cyberkriminellengruppe mit dem Namen TA542 (auch bekannt als Mummy Spider oder Gold Crestwood), erlebte Ende letzten Jahres nach einer zehnmonatigen Pause eine Art Wiederaufleben, nachdem eine koordinierte Operation der Strafverfolgungsbehörden seine Angriffsinfrastruktur ausgeschaltet hatte.
Seitdem haben Emotet-Kampagnen Tausende von Kunden mit Zehntausenden von Nachrichten in verschiedenen geografischen Regionen ins Visier genommen, wobei das Nachrichtenvolumen in einigen Fällen mehr als eine Million pro Kampagne betrug.
Die neue E-Mail-Kampagne mit geringem Volumen, die von der Sicherheitsfirma für Unternehmen analysiert wurde, verwendete Köder mit dem Thema Gehalt und OneDrive-URLs, die ZIP-Archive mit Microsoft Excel Add-in (XLL)-Dateien enthielten, die bei Ausführung die Emotet-Nutzlast abwerfen und ausführen.
Die neue Reihe von Social-Engineering-Angriffen soll zwischen dem 4. April 2022 und dem 19. April 2022 stattgefunden haben, als andere weit verbreitete Emotet-Kampagnen auf Eis gelegt wurden.
Die Tatsache, dass keine makroaktivierten Microsoft Excel- oder Word-Dokumente angehängt wurden, ist ein deutlicher Unterschied zu den zuvor beobachteten Emotet-Angriffen und deutet darauf hin, dass die Bedrohungsakteure sich von dieser Technik abwenden, um die Pläne von Microsoft zu umgehen, ab April 2022 standardmäßig VBA-Makros zu blockieren.
Außerdem haben die Malware-Autoren letzte Woche ein Problem behoben, das verhinderte, dass potenzielle Opfer beim Öffnen der waffenartigen E-Mail-Anhänge kompromittiert wurden.
„Nach Monaten beständiger Aktivität ändert Emotet seine Vorgehensweise“, sagt Sherrod DeGrippo, Vice President of Threat Research and Detection bei Proofpoint.
„Es ist wahrscheinlich, dass der Bedrohungsakteur neue Verhaltensweisen in kleinem Maßstab testet, bevor er sie auf breiterer Basis an seine Opfer weitergibt, oder dass er sie über neue TTPs neben seinen bestehenden groß angelegten Kampagnen verbreitet. Unternehmen sollten sich über die neuen Techniken im Klaren sein und sicherstellen, dass sie ihre Abwehrmaßnahmen entsprechend implementieren.“