Nieuwe Emotet aanval met neppe Windows updates

In het huidige cybersecurity landschap is het Emotet botnet één van de grootste bronnen van malspam (het versturen van e-mails met malware geïnfecteerde bestandsbijlagen).

Verschillende malspam campagnes zijn cruciaal voor de Emotet operators, omdat deze de basis zijn voor het vullen van het botnet met nieuwe slachtoffers. Het betreft een Malware-as-a-Service (MaaS) cybercrime operatie die wordt verhuurd aan andere groepen van cybercriminelen.

Ongeveer 3 maanden geleden, in juli, hadden we hier via een artikel gemeld dat Emotet weer was teruggekeerd na 5 maanden. Vorige maand nog heeft het Nationaal Cyber Security Centrum (NCSC) nog gewaarschuwd voor een toename aan spam-campagnes met Emotet malware en dit werd ook gedaan door cybersecurity agentschappen in andere landen waaronder Frankrijk, Italië, Japan en Nieuw-Zeeland.

Hoe voorkomt Emotet detectie?

Om te voorkomen dat securitybedrijven Emotet bijhalen en hun e-mails als kwaadaardig of spam bestempelen, zijn de Emotet operators op regelmatige basis bezig om te veranderen hoe de e-mails worden afgeleverd en hoe de bestandsbijlagen eruit zien.

Het onderwerp van de email wordt aangepast, de tekst in de body van de mail, het type van de bestandsbijlagen en ook de inhoud van de bestandsbijlagen, welke net zo belangrijk is als de rest van de email.

Dit komt, omdat iedereen die een Emotet email ontvangt, naast het lezen en het openen van het bestand, het belangrijkste is dat de ontvanger toestaat dat het bestand geautomatiseerde scripts “macro’s” kan uitvoeren. Deze macro’s worden alleen uitgevoerd wanneer de gebruiker op de Enable Editing knop heeft gedrukt, zoals te zien in onderstaande afbeelding.

enable-editing.png

Afbeelding: Microsoft

 

Het misleiden van gebruikers om op de knop te drukken is net zo belangrijk als het ontwerp van de email template, de malware zelf en de backend van de botnet infrastructuur voor de malware operators van Emotet.

Als voorbeeld zie je hier een kwaadaardig Word document dat bij VirusTotal op dit moment door 14 van de 79 engines wordt gedetecteerd, dit betekend dus dat wanneer er gebruik wordt gemaakt van één van de andere engines deze op dit moment het document nog niet kunnen herkennen als kwaadaardig.

Voorbeelden hoe gebruikers misleid worden

Over de jaren heen heeft Emotet een collectie van geboobytrapte Office documenten ontwikkeld die in een grote verscheidenheid aan “lures” gebruikt om gebruikt te overtuigen om op de voorgenoemde Enable Editing knop te drukken. Dit gebeurt onder andere via:

  • Documenten die aangeven dat ze gemaakt zijn op een ander platform (zoals Android of iOS) en de gebruiker kan het document alleen bekijken wanneer er op de Enable Editing knop wordt gedrukt;
  • Document die aangeven dat ze gemaakt zijn in oudere versies van Office en de gebruiker kan ze alleen bekijken wanneer Enable Editing is ingeschakeld;
  • Documenten die aangeven dat ze in “Protected View” zitten en vragen aan de gebruikers om te klikken op enable editing (Protected View wordt juist gebruikt om macro’s te blokkeren en om de Enable Editing knop te weergeven);
  • Documenten die gevoelige of beperkt beschikbaar materiaal bevatten, dat de gebruiker alleen kan zien door op de knop te drukken;
  • Documenten die neppe activatie wizards laten zien met de melding dat de Office activatie is voltooid en de gebruiker alleen op de knop hoeft te drukken om gebruik te maken van Office.

De nieuwe campagne

Deze week is er een nieuwe document “lure” ontdekt. Bestandsbijlagen in recente Emotet campagnes laten een bericht zien met dat deze van de Windows Update dienst is, welke gebruikers zegt dat ze de Office applicatie moeten updaten. Net zoals bij de voorbeelden hierboven moeten gebruikers klikken op de Enable Editing knop (hier niet op klikken). Hoe dit eruit ziet, valt hieronder te zien.

emotet-windows-update.jpg

Afbeelding: @catnap707/Twitter

 

Volgens de onderzoekers van de Cryptolaemus groep zijn deze e-mails met de nieuwe techniek verspreid in grote aantallen naar gebruikers over de hele wereld.

Zelfs op sommige nieuw geïnfecteerde hosts heeft Emotet de TrickBot trojan geïnstalleerd. Hiermee wordt bevestigd dat TrickBot de recente poging om het botnet neer te halen heeft overleefd van de verschillende technologie bedrijven die die hebben geprobeerd.

Al deze geboobytrapte documenten worden verstuurd via gespoofde identiteiten, zodat het lijkt alsof ze van relaties en zakelijke partners komen.

Emotet maakt ook vaak gebruik van een techniek genaamd “conversation hijacking”, hiermee worden de email onderwerpen van geïnfecteerde hosts gestolen. Hierna maakt Emotet zijn eigen antwoord als een gespoofde deelnemer en voegt de documenten toe als bijlagen.

Deze techniek is lastig om te detecteren, vooral door gebruikers die dagelijks werken met zakelijke emailberichten. Hierdoor kan Emotet zeer vaak bedrijfsnetwerken of netwerken van overheidsorganisaties infecteren.

Advies

In veel gevallen is de beste manier om Emotet aanvallen te voorkomen door Security awareness trainingen en is het belangrijk deze regelmatig te herhalen. Gebruikers die regelmatig werken met e-mails moeten op de hoogte gesteld worden hoe gevaarlijk het is om macro’s beschikbaar te maken voor documenten. Deze functionaliteit wordt zelden gebruikt voor legitieme doeleinden.

Het herkennen van typische Emotet documenten is een goed begin, zodat gebruikers de meeste Emotet mails kunnen vermeiden wanneer deze in hun postvak zijn gekomen, zelfs als deze van bekende afzenders komen.

Hieronder zijn enkele voorbeelden die gebruikt kunnen worden om gebruikers Emotet documenten te leren herkennen. Deze zijn gedeeld door security onderzoeker @ps66uk met ZDNet.

emotet-windows-10.png

emotet-ios.png

emotet-android.jpg

emotet-openoffice.png

emotet-office.png

emotet-office-rus.jpg

emotet-word.jpg

emotet-word-2.png

emotet-word.png

emotet-word-eror.png

emotet-activation-wizard.png

emotet-red-dawn.jpg

emotet-protected.jpg

emotet-protected.png

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

 

Nieuwe Android ransomware wordt door Microsoft voor gewaarschuwd

Gerelateerde berichten

Android ransomware

Nieuwe Android ransomware wordt door Microsoft voor gewaarschuwd

QR code

QR codes zijn handig, maar ook een Cybersecurity dreiging

Microsoft

Grote toename in pogingen tot misbruik Zerologon kwetsbaarheid in 1 week tijd

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

thuiswerken

Thuiswerken zorgt voor een toename aan security incidenten

MS Teams

Microsoft Teams Updater misbruikt om “living of the land” aanvallen uit te voeren

teamviewer

TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen

Trickbot

Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen

BootHole

BootHole kwetsbaarheid maakt devices met Secure Boot kwetsbaar voor aanvallen

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

5 × 3 =

Menu