De beruchte Emotet-malware is weer actief geworden en gebruikt nog ongelezen e-mails van al gemaakte slachtoffers om zich verder te verspreiden, wat het lastig voor spamfilters maakt om deze berichten te stoppen zo melden Cisco en Virus Bulletin. Gisteren kwam securitybedrijf Malwarebytes al met het bericht dat Emotet na maanden van inactiviteit weer begonnen was met het versturen van spammails.

Emotet maakt gebruik van malafide doc-bestanden met kwaadaardige macro's om systemen te besmetten. Deze bestanden worden als e-mailbijlage verstuurd. Om potentiële slachtoffers te verleiden om de e-mailbijlage te openen lift Emotet mee op eerdere e-mailcommunicatie van het slachtoffer. Deze werkwijze van Emotet was al eerder bekend, maar is volgens Cisco zeer effectief om zich verder te verspreiden. Zodra de malware het e-mailwachtwoord van een slachtoffer heeft bemachtigd wordt er een antwoord opgesteld op nog ongelezen e-mails in de inbox van het slachtoffer. Daarbij wordt de inhoud van de eerdere e-mail gequoot en voorzien van de tekst om de meegestuurde bijlage te openen.

Ook maakt deze werkwijze het lastiger voor spamfilters om de berichten te stoppen. Virus Bulletin laat weten dat veel spamfilters de Emotet-mails niet als kwaadaardig bestempelen en zodoende doorlaten. "Dit is onderdeel van een zorgwekkende trend die we nu al enige tijd zien. Deze spamcampagnes hebben een veel hoger leveringspercentage dan normale spam. Soms weet tien procent van de spammails door de eerste verdedigingslaag heen te komen", zegt Martijn Grooten van Virus Bulletin.

Volgens Cisco-onderzoeker Colin Grady is het eenvoudig voor te stellen dat iemand die een e-mail verwacht hier in trapt. "En het is een deel van de reden dat Emotet zich zo effectief via e-mail verspreidt. Door bestaande e-mailgesprekken over te nemen, en echte onderwerpen en e-mailinhoud toe te voegen, zijn de berichten veel willekeuriger en lastiger voor anti-spamsystemen om te filteren", aldus de onderzoeker.

Wachtwoorden

De inloggegevens die Emotet steelt voor het inloggen op het e-mailaccount van het slachtoffer worden ook gebruikt voor het versturen van de malafide antwoordmails. De afgelopen tien maanden ontdekte Cisco ruim 200.000 gestolen combinaties van gebruikersnamen en wachtwoorden waarmee de spamberichten werden verstuurd. Een gestolen wachtwoord blijkt gemiddeld een kleine 7 dagen voor het versturen van spam te worden gebruikt. Het grootste deel van de wachtwoorden was echter minder dan een dag in gebruik.

Eenmaal actief op een systeem kan Emotet wachtwoorden van allerlei applicaties stelen en aanvullende malware installeren, waaronder ransomware. Grady adviseert internetgebruikers om tweefactorauthenticatie voor hun e-mailaccount in te stellen en alert te zijn op onverwachte of verdachte e-mails die uit de context lijken.