Dies berüchtigte Emotet-Botnet feiert mit Hilfe von TrickBot-Schadsoftware ein Comeback

Die berüchtigte Emotet-Schadsoftware erlebt weitestgehend 10 Monate, nachdem eine koordinierte Operation dieser Strafverfolgungsbehörden ihre Befehls- und Kontrollinfrastruktur Finale Januar 2021 demontiert hat, eine Gattung Comeback.

Laut einem neuen Nachprüfung des Sicherheitsforschers Luca Ebach wird die berüchtigte TrickBot-Schadsoftware denn Einstiegspunkt verwendet, um eine virtuell neue Version von Emotet hinauf Systemen zu verteilen, die zuvor mit ersterem infiziert waren. Die neueste Variante hat die Form einer DLL-File, wodurch dies erste Zu Tage treten dieser Verfügbarmachung am 14. November erkannt wird.

Europol bezeichnete Emotet denn die “gefährlichste Schadsoftware dieser Welt”, da es denn “Türöffner” zu Händen Bedrohungsakteure fungieren kann, um unbefugten Zugriff zu erhalten, welches zu einem Vorläufer vieler kritischer Datendiebstahl- und Ransomware-Angriffe wird. Interessanterweise ermöglichte die Loader-Operation anderen Schadsoftware-Familien wie Trickbot, QakBot und Ryuk, in kombinieren Computer einzudringen.

Dies Resurfacing ist nicht zuletzt so gesehen von Geltung, weil es hinauf konzertierte Bemühungen dieser Strafverfolgungsbehörden folgt, die Schadsoftware im vierter Monat des Jahres massenhaft unabsichtlich von den kompromittierten Computern zu deinstallieren.

Zum Zeitpunkt des Schreibens des Schadsoftware-Tracking-Forschungsprojekts Abuse.ch Feodo Tracker zeigt an neun Emotet-Command-and-Control-Server, die derzeit online sind, welches darauf hindeutet, dass die Betreiber versuchen, dies Botnet wiederzubeleben und wieder zum Laufen zu schaffen.

Beispiele des neuen Emotet-Loaders können hier abgerufen werden. Um zu verhindern, dass Geräte in dies neu aktive Emotet-Botnetz aufgenommen werden, wird Netzwerkadministratoren spornstreichs empfohlen, nicht mehr da relevanten IP-Adressen zu blockieren.

Updaten: In weniger denn 24 Zahlungsfrist aufschieben hat dies Emotet-Botnet seine Botnet-Command-and-Control-Unterbau (C2) von 9 aktiven C2-Servern hinauf 14 aktive C2-Server erweitert. “Es sieht so aus sehr lukulent zu sein, dass Emotet seine Aktivitäten hochfährt”, sagte Abuse.ch genannt in einem Tweet.

Die Zunahme dieser Emotet-Beweglichkeit wurde zweitrangig von einem Steigung dieser Malspam-Kampagnen mit ausgewählten Infektionsketten begleitet fliegen lassen dies Lader unverhohlen mit Makro-aktivierten Word- und Excel-Dokumenten, die an gestohlene E-Mail-Dienst-Threads angehängt sind, ohne sich hinauf TrickBot zu verlassen.

“[Emotet is] zurück und umgerüstet. Identifizierungszeichen und Unterbau wurden aktualisiert und sind jetzt besser gesichert. Es muss Leckermäulchen/jemanden sein, dieser Zugriff hinauf den Urtext-Quellcode hat”, sagt dieser Sicherheitsforscher Kevin Beaumont getwittert.