Emotet trojan gefrustreerd door beveiliging van ESET

Next story

Gedurende 2019 is de Emotet trojan steeds beruchter geworden op het gebied van kwaadaardige mails versturen. Ook wordt het beschuldigd van het helpen afleveren van ransomware als Ryuk.

In recente campagnes hebben Emotet-operators erg slimme phishinge-mails ontworpen. Zo bevatte één een uitnodiging om bij te dragen aan het menu van een opkomend kerstdiner. Een andere e-mail nodigde supporters van Greta Thunberg, Time Person of the Year 2019, uit om deel te nemen aan een demonstratie tegen politieke laksheid op het gebied van klimaatverandering.

Ook interessant is dat Emotet zich lijkt af te reageren op ESET. De Emotet-schrijvers hebben, af en toe, opmerkingen achtergelaten in hun code waarin zij hun frustratie over ESET lijken te uiten:

Verspreiding van Emotet

Emotet wordt door veel instanties en onderzoekers omschreven als één van de meest gevaarlijke banking trojans die momenteel actief zijn. De malware is modulair opgebouwd waardoor zijn functionaliteit eenvoudig uitgebreid kan worden. Daarnaast past Emotet continu zijn eigen code aan, waardoor signature-based detecties niet toepasbaar zijn.

Emotet verspreidt zich via e-mail. Vaak wordt het onderwerp in de mail aangepast naar nieuwsitems die op dat moment relevant zijn. Zo zijn er varianten gevonden die zich verspreiden via email met als onderwerp Greta Thunberg en nog recenter: het coronavirus.

De mails die Emotet verstuurt bevatten bijlages in Microsoft Word-formaat. In het Word-document wordt gevraagd om macro’s aan te zetten. Wanneer de gebruiker dit toestaat, wordt een Emotet trojan gedownload via macro’s welke zijn geschreven in Visual Basic for Applications (VBA). Hieronder een voorbeeld van een dergelijke Emotet-mail.

Wanneer Emotet succesvol is geïnstalleerd, heeft het de mogelijkheid het netwerk scannen voor benaderbare systemen en kan deze door middel van brute-force aanvallen inbreken. Ook kan Emotet de Trickbot-malware downloaden, die vervolgens in staat is om de Ryuk-ransomware te downloaden en uit te voeren.

Het blokkeren van Emotet

ESETs detectietechnologieën hebben Emotet en dienst varianten consistent geblokkeerd, wat zeker dergelijke uitingen zou kunnen uitlokken.

De slimme social engineering-tactieken die Emotet gebruikt, zouden reden kunnen zijn voor bedrijven om het cyberbewustzijn onder hun werknemers en de sterkte van hun securitysystemen te herevalueren. Volgens recent onderzoek van Virus Bulletin kan Emotet nog steeds verscheidene e-mailsecurityproducten op de markt omzeilen. “E-mails die met Emotet geïnfecteerde kwaadaardige bijlagen bevatten, blijven nog steeds het moeilijkst om te blokkeren,” volgens het rapport van Virus Bulletin.

Zakelijke gebruikers van ESET Mail Security voor Microsoft Exchange Server kunnen gerust ademhalen. Testen van VBSpam laten namelijk zien dat ESET in vergelijking met concurrenten de hoogste spam-, phishing- en malwaredetectie heeft in combinatie met het laagste false-positiveratio:

Dit zijn uitzonderlijk belangrijke statistieken en nodig voor bedrijven om hun beveiliging te evalueren om goed voorbereid te zijn op continue campagnes als die van Emotet. ESET LiveGrid®-detecties van Emotet tussen september en december 2019 tonen een groeiende trend:

Gelaagde bescherming in actie

Deze telemetriegegevens geven een goede indicatie van het beveiligingsniveau dat door ESET beveiligde apparaten ervaren door het detecteren en blokkeren van Emotet vóór een mogelijke compromittering.

Het is verstandig om in het achterhoofd te houden dat simpelweg het ontvangen van een e-mail en het downloaden van het bijgevoegde Word-document – één van Emotets methoden om toegang te verkrijgen tot je apparaat – niet bij uitstek betekenen dat je computer geïnfecteerd is. Bij de standaard security-instelling voor het openen van e-mailbijlagen wordt “Beschermde weergave” (“Protected View”), met macro’s uitgezet, gebruikt en derhalve de bijlage op een onschadelijke wijze getoond.

De detectie van een kwaadaardige bijlage kan gedaan worden, zelfs wanneer het ongeopend is (afhankelijk van de kwaadaardigheid) door middel van sandbox-analyse en onderzoek naar diens reputatie. ESET LiveGrid® verzamelt verdachte samples die ingestuurd worden door miljoenen door ESET beveiligde endpoints over de hele wereld om onderworpen te worden aan machine learning-analyse in de cloud. De vergaarde kennis van detecties wordt gedeeld via het ESET LiveGrid® Reputation System om gebruikers in andere delen van de wereld beveiligd te houden.

Als een gebruiker in het geval van Emotet een kwaadaardige bijlage opent en per ongeluk de macro’s aan zet, zal een een set PowerShell commands uitgevoerd worden die proberen gecompromitteerde domeinen te contacteren om nog een kwaadaardig bestand te downloaden. Kwaadaardig gedrag dat getoond wordt door zulke macrocode kan gedetecteerd en gemonitord worden dankzij de beveiligingslagen, zoals ESETs Host-based Intrusion Prevention System (HIPS) en DNA-detecties.

HIPS is een gedrag-gebaseerd detectieframework die in veel oplossingen van ESET is ingebouwd en geavanceerde mogelijkheden biedt om low-level API calls te monitoren op verdacht gedrag dat verder geïnspecteerd en geblokkeerd dient te worden.

HIPS is in staat Emotet effectief te blokkeren in samenwerking met ESET DNA-detectietechnologie, welke de “genen” levert die karakteristiek zijn voor kwaadaardig gedrag.

Organisaties hebben het voordeel dat zij kunnen voorkomen dat werknemers mogelijk met Emotet-geïnfecteerde e-mails openen. Met de cloud sandbox van ESET Dynamic Threat Defense, waarin kwaadaardige bestanden binnen luttele minuten getest worden, wordt toegang van de malware tot het netwerk namelijk voorkomen.

Dit zijn slechts enkele van de beveiligingslagen in ESETs geavanceerde oplossingen die het werk van cybercriminelen achter campagnes als Emotet vermoeilijken. Er is geen twijfel dat Emotet in 2019 is teruggekeerd; wij raden bedrijven aan, met het oog op deze groeiende trend, in 2020 hun securitymaturiteit te verhogen.

U kunt de meeste recente Emotet-malware IoC’s, inclusief gecompromitteerde domeinen en C&C-serveradressen, ontvangen door de ESET Threat Intelligence (ETI) diensten, waarbij data van meer dan 110 miljoen sensors wereldwijd wordt verzameld, af te nemen.