Das Emotet-Botnetz verfügt jetzt über ein neues Modul, das in Google Chrome-Benutzerprofilen gespeicherte Kreditkarteninformationen stiehlt.
Emotet wurde erstmals von Cybersicherheitsforschern bei Proofpoint entdeckt, die das neue Modul am 6. Juni veröffentlichten. Es wird versucht, Namen, Ablaufdaten und Kartennummern zu stehlen, die in Chrome-Benutzerprofilen gespeichert sind. Ein interessantes Detail ist, dass der Dieb die Daten auf einen anderen Befehls- und Kontrollserver (C2) als den Modullader extrahiert.
Emotet hatte einen ziemlichen Gimmick. Es wurde vor einem Jahr fast vollständig aus dem Netzwerk entfernt, als deutsche Behörden ihre eigene Infrastruktur nutzten, um ein Modul bereitzustellen, das die Malware (öffnet sich in einem neuen Tab) von allen infizierten Geräten deinstallierte.
Emotet ist zurück
Sechs Monate später, im November 2021, kam es erneut, als mehrere Cybersicherheitsforscher herausfanden, dass Trickbot versuchte, eine als Emotet identifizierte DLL auf das System herunterzuladen.
Vor etwas mehr als einem Monat wurde beobachtet, dass Emotet-Betreiber von Microsoft Office-Makros zur Verteilung abwandten und sich Windows-Verknüpfungsdateien (.lnk) zuwandten.
Die Schadsoftware wurde erstmals im Jahr 2014 entdeckt. Damals wurde sie als Banking-Trojaner eingesetzt, hat sich aber inzwischen zu einem Botnetz entwickelt. Einige Forscher glauben, dass es von einem Bedrohungsakteur namens Mummy Spider (AKA TA542) entwickelt wurde, um als Abwurf für Viren der zweiten Stufe zu fungieren. Unter anderem wurde Emotet bei der Auslieferung von Qbot und Trickbot gesehen, die wiederum Cobalt Strike-Beacons und verschiedene Arten von Ransomware (öffnet sich in einem neuen Tab) auslieferten, darunter Ryuk oder Conti.
Heutzutage ist es in der Lage, sensible und persönlich identifizierbare Daten zu stehlen, den Datenverkehr auszuspionieren, der über kompromittierte Netzwerke läuft, und sich seitlich zu bewegen.
ESET-Cybersicherheitsforscher sagten kürzlich, dass Emotet in diesem Jahr einen deutlichen Anstieg der Aktivität verzeichnet habe, „wobei die Aktivität im Vergleich zum dritten Quartal 100 um mehr als das Hundertfache gestiegen ist“.
Über: BleepingComputer (Öffnet in einem neuen Tab)