Ny rapport visar på kraftig uppgång av bekant Windows-trojan
Hem Säkerhet En ny rapport visar på kraftig uppgång av bekant Windows-trojan

En ny rapport visar på kraftig uppgång av bekant Windows-trojan

Publicerat av: Redaktionen

Enligt en ny rapport från IT-säkerhetsföretaget Proofpoint är trojanen Emotet på kraftig uppgång.

Trojanen som riktar sig mot Windows-plattformar bekämpades av rättsvårdande myndigheter till nästintill utrotning i början av 2021, men har nu återvänt i nya former.

I november 2021, 10 månader efter att trojanens hotbild försvunnit, observerade säkerhetsforskare på Proofpoint en återkomst av den ökända trojanen. Sedan dess har den kriminella gruppen TA542, som tillskrivs Emotet-attackerna, riktat sig mot tusentals mottagare med tiotusentals meddelanden i flera geografiska regioner. I vissa fall når mejlvolymen över en miljon mottagare per utskick.

– Efter flera månader av konsekvent aktivitet har TA542 börjat utforska nya metoder. Det är troligt att gruppen testar de nya metoderna i mindre skala innan de går ut med attacker i bredare skala. För organisationer är det i det här läget viktigt att vara medvetna om de nya teknikerna och se till att man implementerar cyberförsvar och åtgärder i enlighet med det, säger Sherrod DeGrippo, ansvarig för säkerhetsforskning på Proofpoint.

 Inledningsvis simpla tillvägagångssätt

Ny rapport visar på kraftig uppgång av bekant Windows-trojanTill en början upptäcktes låga volymer e-postmeddelanden som distribuerade Emotet. De e-postmeddelanden som skickades innehöll enkla ämnesrader med enstaka ord som ”Lön”.

Mejlen innehöll endast OneDrive-url:er som ledde till zip-filer innehållande skadlig programvara.

Filerna är döpta med ämnen som “Lön_new.zip.” och ”Lön_och_bonusar-04.01.2022.xll. När mottagaren klickar på filerna initieras en process som installerar och släpper lös trojanen i mottagarens dator.

Den nya aktiviteten skiljer sig från tidigare Emotet-attacker på flera sätt, men Proofpoints analytiker menar ändå att den senaste aktiviteten med hög sannolikhet härstammar från den kriminella gruppen TA542.

 Kringgår Microsofts skyddsåtgärder

Mellan den 4 och 19 april 2022 observerades ett avbrott i de utbredda Emotet-attackerna. Sedan dess har aktiviteten återupptagits med hög aktivitet. Proofpoints säkerhetsforskare bedömer att gruppen använde avbrottet för att utveckla och testa nya attackmetoder som förberedelse för att använda dem i en större skala.

Vanligtvis förlitar sig cyberkriminella grupper, inklusive TA542, på så kallade makroaktiverade filer i kombination med lockbeten för att övertyga mottagare om att mejlens innehåll är pålitligt. Vad som är anmärkningsvärt är att TA542 nu börjat utforska nya attacktekniker som inte förlitar sig på makroaktiverade filer. Proofpoint menar att detta beror på att Microsoft gjort det allt svårare för kriminella aktörer att använda makroaktiverade filer som infektionsdörr i sina attacker, och att gruppens nya metoder är ett sätt att kringgå Microsofts skyddsåtgärder.

 

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information>>