Bildquelle: Toptal
Die berüchtigte Emotet-Malware hat ein neues Modul entwickelt, um Kreditkarteninformationen abzuschöpfen, die im Chrome-Webbrowser gespeichert sind.
Der Kreditkartenbetrüger, der ausschließlich Chrome angreift, kann die gesammelten Informationen an verschiedene entfernte Command-and-Control (C2)-Server weiterleiten. Das berichtet das Sicherheitsunternehmen Proofpoint, das die Komponente am 6. Juni beobachtete.
Die Entwicklung kommt inmitten einer Welle von Emotet-Aktivitäten, seit es Ende letzten Jahres nach einer zehnmonatigen Pause wieder aufgetaucht ist, nachdem die Strafverfolgungsbehörden im Januar 2021 seine Angriffsinfrastruktur ausgeschaltet hatten.
Emotet, der einem als TA542 (auch bekannt als Mummy Spider oder Gold Crestwood) bekannten Bedrohungsakteur zugeschrieben wird, ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner, der über E-Mail-Kampagnen verbreitet wird und als Verteiler für andere Nutzlasten wie Ransomware dient.
Laut Check Point ist Emotet im April 2022 immer noch die beliebteste Malware, die weltweit 6 % der Unternehmen betrifft, gefolgt von Formbook und Agent Tesla. Die Malware testet neue Verbreitungsmethoden, indem sie OneDrive-URLs und PowerShell in .LNK-Anhängen nutzt, um die Makro-Beschränkungen von Microsoft zu umgehen.
Die stetige Zunahme von Bedrohungen im Zusammenhang mit Emotet wird auch durch die Tatsache untermauert, dass die Zahl der Phishing-E-Mails, die oft bereits bestehende Korrespondenz kapern, von 3.000 im Februar 2022 auf etwa 30.000 im März gestiegen ist, die als Teil einer massenhaften Spam-Kampagne auf Organisationen in verschiedenen Ländern abzielen.
ESET stellte fest, dass die Emotet-Aktivitäten im März und April 2022 „einen höheren Gang eingelegt“ haben. Die Entdeckungen stiegen um das 100-fache und verzeichneten in den ersten vier Monaten des Jahres einen Zuwachs von über 11.000% im Vergleich zu den vorangegangenen drei Monaten von September bis Dezember 2021.
Einige der häufigsten Ziele seit der Wiederauferstehung des Botnetzes waren Japan, Italien und Mexiko, so das slowakische Unternehmen für Cybersicherheit, das hinzufügte, dass die größte Welle am 16. März 2022 verzeichnet wurde.
„Der Umfang der jüngsten LNK- und XLL-Kampagnen von Emotet war deutlich geringer als die über kompromittierte DOC-Dateien verbreiteten Kampagnen vom März“, so Dušan Lacika, Senior Detection Engineer bei Dušan Lacika.
„Das deutet darauf hin, dass die Betreiber nur einen Bruchteil des Potenzials des Botnetzes nutzen, während sie neue Verbreitungswege testen, die die jetzt standardmäßig deaktivierten VBA-Makros ersetzen könnten.
Die Erkenntnisse kommen auch daher, dass Forscher von CyberArk eine neue Technik demonstriert haben, um Klartext-Anmeldedaten direkt aus dem Speicher von Chromium-basierten Webbrowsern zu extrahieren.
„Die Anmeldedaten werden im Speicher von Chrome im Klartext gespeichert“, sagte Zeev Ben Porat von CyberArk. „Zusätzlich zu den Daten, die dynamisch eingegeben werden, wenn man sich bei bestimmten Webanwendungen anmeldet, kann ein Angreifer den Browser dazu bringen, alle Passwörter, die im Passwortmanager gespeichert sind, in den Speicher zu laden.
Dazu gehören auch Cookie-bezogene Informationen wie z. B. Sitzungscookies, die es einem Angreifer ermöglichen, die Informationen zu extrahieren und sie zu nutzen, um die Konten der Nutzer/innen zu kapern, selbst wenn diese durch eine Multi-Faktor-Authentifizierung geschützt sind.