De beruchte Emotet-malware is weer actief geworden en gebruikt nog ongelezen e-mails van al gemaakte slachtoffers om zich verder te verspreiden, wat het lastig voor spamfilters maakt om deze berichten te stoppen zo melden Cisco en Virus Bulletin. Gisteren kwam securitybedrijf Malwarebytes al met het bericht dat Emotet na maanden van inactiviteit weer begonnen was met het versturen van spammails.
Emotet maakt gebruik van malafide doc-bestanden met kwaadaardige macro's om systemen te besmetten. Deze bestanden worden als e-mailbijlage verstuurd. Om potentiële slachtoffers te verleiden om de e-mailbijlage te openen lift Emotet mee op eerdere e-mailcommunicatie van het slachtoffer. Deze werkwijze van Emotet was al eerder bekend, maar is volgens Cisco zeer effectief om zich verder te verspreiden. Zodra de malware het e-mailwachtwoord van een slachtoffer heeft bemachtigd wordt er een antwoord opgesteld op nog ongelezen e-mails in de inbox van het slachtoffer. Daarbij wordt de inhoud van de eerdere e-mail gequoot en voorzien van de tekst om de meegestuurde bijlage te openen.
Ook maakt deze werkwijze het lastiger voor spamfilters om de berichten te stoppen. Virus Bulletin laat weten dat veel spamfilters de Emotet-mails niet als kwaadaardig bestempelen en zodoende doorlaten. "Dit is onderdeel van een zorgwekkende trend die we nu al enige tijd zien. Deze spamcampagnes hebben een veel hoger leveringspercentage dan normale spam. Soms weet tien procent van de spammails door de eerste verdedigingslaag heen te komen", zegt Martijn Grooten van Virus Bulletin.
Volgens Cisco-onderzoeker Colin Grady is het eenvoudig voor te stellen dat iemand die een e-mail verwacht hier in trapt. "En het is een deel van de reden dat Emotet zich zo effectief via e-mail verspreidt. Door bestaande e-mailgesprekken over te nemen, en echte onderwerpen en e-mailinhoud toe te voegen, zijn de berichten veel willekeuriger en lastiger voor anti-spamsystemen om te filteren", aldus de onderzoeker.
De inloggegevens die Emotet steelt voor het inloggen op het e-mailaccount van het slachtoffer worden ook gebruikt voor het versturen van de malafide antwoordmails. De afgelopen tien maanden ontdekte Cisco ruim 200.000 gestolen combinaties van gebruikersnamen en wachtwoorden waarmee de spamberichten werden verstuurd. Een gestolen wachtwoord blijkt gemiddeld een kleine 7 dagen voor het versturen van spam te worden gebruikt. Het grootste deel van de wachtwoorden was echter minder dan een dag in gebruik.
Eenmaal actief op een systeem kan Emotet wachtwoorden van allerlei applicaties stelen en aanvullende malware installeren, waaronder ransomware. Grady adviseert internetgebruikers om tweefactorauthenticatie voor hun e-mailaccount in te stellen en alert te zijn op onverwachte of verdachte e-mails die uit de context lijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.