Malware lift mee op eerdere e-mailberichten van slachtoffer

doorSecuratis

Malware lift mee op eerdere e-mailberichten van slachtoffer

De beruchte Emotet-malware waar de Amerikaanse autoriteiten vorig jaar nog voor waarschuwden maakt nu gebruik van eerdere e-mailberichten van het slachtoffer om nieuwe slachtoffers te maken. Dat melden het computer emergency response team van de Duitse overheid (CERT-Bund) en securitybedrijf Cofense en onderzoeker Marcus Hutchins.

Vorig jaar oktober werd Emotet door de ontwikkelaars van een nieuwe module voorzien om mee te liften op eerdere e-mailconversaties van het slachtoffer. Deze functionaliteit was echter nog niet in het wild waargenomen. Nu hebben onderzoekers meer dan duizend e-mails gevonden waarbij Emotet bestaande e-mails gebruikte. De malware kijkt hiervoor naar e-mails in het e-mailaccount van een eerder gemaakt slachtoffer. Vervolgens worden deze berichten als basis voor een kwaadaardige mail gebruikt.

De e-mails hebben een onderwerp dat onder andere begint met “Re: RE” of “RE: AW:” gevolgd door het onderwerp van de eerder verzonden e-mail. Tevens wordt de inhoud van het oorspronkelijke bericht aan de kwaadaardige e-mail toegevoegd, aangevuld met een tekst en link die naar de malware wijst. De meer dan duizend e-mails die werden gevonden waren elk van unieke onderwerpen voorzien.

Volgens de onderzoekers is dit een grote breuk met de standaard templates die Emotet eerst altijd gebruikte. Emotet wordt voornamelijk verspreid via e-mails die een Word-document met een kwaadaardige macro als bijlage of een link naar het kwaadaardige document bevatten. Oorspronkelijk was de malware ontwikkeld voor het stelen van bankgegevens. Inmiddels is het een “modulaire malwarefamilie” die allerlei aanvullende malware op systemen kan installeren.

Image

https://www.security.nl/posting/605196/Malware+lift+mee+op+eerdere+e-mailberichten+van+slachtoffer?channel=rss

Over de auteur

Securatis administrator