image

Fout in Emotet-malware maandenlang gebruikt om infecties te voorkomen

maandag 17 augustus 2020, 12:10 door Redactie, 6 reacties

Een fout in het installatieproces van de beruchte Emotet-malware is maandenlang door securitybedrijven gebruikt om infecties te voorkomen. Dat hebben onderzoekers van security Binary Defense, die het probleem ontdekten, bekendgemaakt. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is.

Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties.

Onder andere de Ryuk-ransomware zou via initiële Emotet-infecties binnen bedrijven worden verspreid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, bestempelde Emotet eerder al tot de gevaarlijkste malware ter wereld.

In februari van dit jaar voerden de Emotet-ontwikkelaars grote aanpassingen door aan de code van de malware. Onder andere om analyse door onderzoekers te bemoeilijken. Ook de installatieprocedure was aangepast. Emotet gebruikte voor de installatie op het systeem een registersleutel die het in het Windows Register aanmaakte. Zo werd de malware ook na een herstart van de computer geladen.

De onderzoekers van Binary Defense ontdekten een fout in deze installatieprocedure. Emotet controleerde of de zogeheten "install marker" in het Windows Register voorkwam. Door de registersleutel op een schoon systeem aan te maken en van een bepaalde waarde te voorzien crashte de installatieprocedure, zonder dat de malware op het systeem kon worden geïnstalleerd.

De Emotet-ontwikkelaars kwamen in april met een update van de malware waardoor de installatiemethode via de registersleutel niet meer werd gebruikt. De functionaliteit werd echter niet volledig uit de code van de malware verwijderd. In plaats daarvan zocht Emotet naar de betreffende registersleutel om te kijken of er een oude versie van de malware op het systeem stond die moest worden vervangen. Wederom zorgde de registerwaarde voor een crash van de malware.

De onderzoekers deelden hun bevindingen met andere securitybedrijven, zodat die hun klanten konden beschermen. In totaal is "EmoCrash", zoals de oplossing werd genoemd, een half jaar actief geweest en heeft organisaties ook beschermd tegen Emotet-infecties, zo laat Binary Defense weten. Op 6 augustus verscheen er een nieuwe installatieprocedure van de malware, waarbij de kwetsbare code voor het lezen van de registersleutel was verwijderd.

Reacties (6)
17-08-2020, 12:47 door Bitje-scheef
Mooi !

Echter dit gaat natuurlijk binnenkort op de schop, als dit niet al is aangepast.
Stoppen met het delen van MSOffice bestanden in emails !!!
17-08-2020, 13:10 door Anoniem
Door Bitje-scheef: Mooi !

Echter dit gaat natuurlijk binnenkort op de schop, als dit niet al is aangepast.
Stoppen met het delen van MSOffice bestanden in emails !!!

Delen van MSOffice bestanden is niet nodig en ook geen oplossing. Plaats geen links en macro's in een document dat je deelt en zet op je pc de mogelijkheden van macro's zo beperkt mogelijk in. Open geen ongevraagde bestanden van een onbekende bron of die ongevraagd zijn toegestuurd. Zorg dat je weet dat de afzender klopt en vertrouwd is.

Dat moet je manier van doen zijn. Oplettendheid geldt altij, want alleen zo kun je b.v. ook WhatsApp fraude voorkomen.
17-08-2020, 14:50 door Anoniem
Zoek ze maar uit op https://urlhaus.abuse.ch/browse/

Hele series komen daar voorbij samen met heodo, doc, en epoch2.op websites van malcreanten en geinfesteerde kwetsbare word press websites enz. Zie de payloads daar.

Inherent aan het gebruik van MS Office, maar niet Libre Officde, vreemd he?

luntrus
18-08-2020, 08:35 door Anoniem
Door Anoniem:
Delen van MSOffice bestanden is niet nodig en ook geen oplossing. Plaats geen links en macro's in een document dat je deelt en zet op je pc de mogelijkheden van macro's zo beperkt mogelijk in. Open geen ongevraagde bestanden van een onbekende bron of die ongevraagd zijn toegestuurd. Zorg dat je weet dat de afzender klopt en vertrouwd is.

Dat moet je manier van doen zijn. Oplettendheid geldt altij, want alleen zo kun je b.v. ook WhatsApp fraude voorkomen.
Wat betreft Office en macros, groot gelijk! Echter open van onbekende bron blijft een probleem. Daarom zijn product support of HR contacten altijd een mooi doelwit. Stuur een open sollicitatie of reageer op een openstaande vacature. Met de juiste malware en een goed verhaal ben je dan binnen.
18-08-2020, 09:14 door Bitje-scheef
Door Anoniem: Zoek ze maar uit op https://urlhaus.abuse.ch/browse/

Hele series komen daar voorbij samen met heodo, doc, en epoch2.op websites van malcreanten en geinfesteerde kwetsbare word press websites enz. Zie de payloads daar.

Inherent aan het gebruik van MS Office, maar niet Libre Officde, vreemd he?

luntrus

Populariteit wint in dit geval. Er is wel malware bekend voor LibreOffice, gelukkig niet veel.
18-08-2020, 10:27 door Anoniem
Zonder de nodige klikken en VBA code kwetsbaarheden krijgt trojan Anja geen kans. Macro en Visual Basics voeren hier naar de hel en de aan 1 oog blinde av-definities. MS laat het gebeuren via de figuur in de stoel achter het toetsenbord.
#sockpupprt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.