Kraftfulla cyberhotet Emotet är tillbaka

Uppdaterad version riskerar att få allvarliga följder

Det ökända botnätverket Emotet är tillbaka, visar en ny undersökning från cybersäkerhetsföretaget Proofpoint. Den skadliga programvaran har inte setts till sedan i början av juli men har nu observerats i höga volymer i ett nytt, uppdaterat format.

Det är den kriminella gruppen TA542, som sprider Emotet-trojanen och som nu levererar hundratusentals skadliga e-postmeddelanden per dag. Senast gruppen var aktiv var i juli 2022 och återupptog sin aktitvitet den 2 november 2022.

– Emotet är en otroligt kraftfull skadlig programvara. Det har funnits i flera år, och är en av de största hoten vi har spårat, sett till volym. Vi följer utvecklingen extremt noga på grund av dess skadliga egenskaper och innovativa taktik, säger Sherrod DeGrippo, ansvarig för säkerhetsforskning på Proofpoint.

Varje gång Emotet återupptagit sin aktivitet efter en längre tids avbrott har det historiskt sett alltid kommit tillbaka i nytt uppdaterat format, och den här gången är inget undantag. Förutom uppdateringar i programvarans design kommer den nyare versionen även utrustad med trojanen IcedID.

Några av funktionerna i IcedID innefattar bland annat att inhämta skrivbordsinformation, köra processer och systeminformation, men den kan också läsa och exfiltrera filer.

– Det som är särskilt intressant här är att Emotet fortsätter att fungera och utvecklas. Vi har sett det i flera år, och det visar på att det inte finns några planer på att de kommer upphöra med sin verksamhet. Varje gång det dör återuppstår det igen, som en katt med mer än nio liv, säger Sherrod DeGrippo.

Det skadliga innehållet som ingår i e-postmeddelanden som skickats av TA542 är vanligtvis en Excel-bilaga eller en lösenordsskyddad zip-bilaga med en Excel-fil inuti. Excel-filerna innehåller kod som laddar ner Emotets skadliga programvara.
Det här är samma typ av Excel-ark som användes före perioden av inaktivitet, i juli 2022. Det nya är dock att Excel-filen nu innehåller instruktioner för mottagaren att kopiera filen till en Microsoft Office-mall och kör det därifrån istället. Detta skulle orsaka omedelbar exekvering av den skadliga programvara, utan varningar och kringgå de interaktioner från användaren som vanligtvis krävs.

Enligt Proofpoint förväntas Emotet fortsätta växa ytterligare, samtidigt som fler attackförsök mot mål i både Europa och Nordamerika kommer att genomföras.

För mer information, läs hela Proofpoints tekniska analys här.

2022-12-06 - Industritorget