2022-05-01

Kraftig uppgång av bekant Windows-trojan

Enligt en ny rapport från IT-säkerhetsföretaget Proofpoint är trojanen Emotet på kraftig uppgång. Trojanen som riktar sig mot Windows-plattformar bekämpades av rättsvårdande myndigheter till nästintill utrotning i början av 2021, men har nu återvänt i nya former.

I november 2021, tio månader efter att trojanens hotbild försvunnit, observerade säkerhetsforskare på Proofpoint en återkomst av den ökända trojanen. Sedan dess har den kriminella gruppen TA542, som tillskrivs Emotet-attackerna, riktat sig mot tusentals mottagare med tiotusentals meddelanden i flera geografiska regioner. I vissa fall når mejlvolymen över en miljon mottagare per utskick.

– Efter flera månader av konsekvent aktivitet har TA542 börjat utforska nya metoder. Det är troligt att gruppen testar de nya metoderna i mindre skala innan de går ut med attacker i bredare skala. För organisationer är det i det här läget viktigt att vara medvetna om de nya teknikerna och se till att man implementerar cyberförsvar och åtgärder i enlighet med det, säger Sherrod DeGrippo, ansvarig för säkerhetsforskning på Proofpoint.

Till en början upptäcktes låga volymer e-postmeddelanden som distribuerade Emotet. De e-postmeddelanden som skickades innehöll enkla ämnesrader med enstaka ord som "Lön". Mejlen innehöll endast OneDrive-url:er som ledde till zip-filer innehållande skadlig programvara.

Filerna är döpta med ämnen som “Lön_new.zip.” och "Lön_och_bonusar-04.01.2022.xll. När mottagaren klickar på filerna initieras en process som installerar och släpper lös trojanen i mottagarens dator.

Den nya aktiviteten skiljer sig från tidigare Emotet-attacker på flera sätt, men Proofpoint menar ändå att den senaste aktiviteten med hög sannolikhet härstammar från den kriminella gruppen TA542.

Mellan den 4 och 19 april 2022 observerades ett avbrott i de utbredda Emotet-attackerna. Sedan dess har aktiviteten återupptagits med hög aktivitet. Företaget bedömer att gruppen använde avbrottet för att utveckla och testa nya attackmetoder som förberedelse för att använda dem i en större skala.

Vanligtvis förlitar sig cyberkriminella grupper, inklusive TA542, på så kallade makroaktiverade filer i kombination med lockbeten för att övertyga mottagare om att mejlens innehåll är pålitligt. Vad som är anmärkningsvärt är att TA542 nu börjat utforska nya attacktekniker som inte förlitar sig på makroaktiverade filer. Proofpoint menar att detta beror på att Microsoft gjort det allt svårare för kriminella aktörer att använda makroaktiverade filer som infektionsdörr i sina attacker, och att gruppens nya metoder är ett sätt att kringgå Microsofts skyddsåtgärder.