De dreigingsactor achter het productieve Emotet-botnet test nieuwe aanvalsmethoden op kleine schaal voordat ze worden gecoöpteerd in hun malspam-campagnes met een groter volume, mogelijk als reactie op de stap van Microsoft om Visual Basic for Applications (VBA)-macro’s standaard uit te schakelen voor zijn producten .
De nieuwe activiteit een “afwijking” noemen van het typische gedrag van de groep, als alternatief ProofPoint verhoogde de mogelijkheid dat de laatste reeks phishing-e-mails die de malware verspreiden, aantonen dat de operators nu “betrokken zijn bij selectievere en beperktere aanvallen, parallel aan de typische grootschalige e-mailcampagnes”.
Emotet, het werk van een cybercriminaliteitsgroep, gevolgd als TA542 (ook bekend als Mummy Spider of Gold Crestwood), organiseerde eind vorig jaar een soort revival na een onderbreking van 10 maanden na een gecoördineerde wetshandhavingsoperatie om de aanvalsinfrastructuur neer te halen.
Sindsdien Emotet campagnes hebben duizenden klanten getarget met tienduizenden berichten in verschillende geografische regio’s, met een berichtvolume van meer dan een miljoen per campagne in bepaalde gevallen.
De nieuwe “low-volume” e-mailcampagne die door het beveiligingsbedrijf van de onderneming werd geanalyseerd, omvatte het gebruik van lokaas met salaristhema en OneDrive-URL’s die ZIP-archieven hosten die Microsoft Excel Add-in-bestanden (XLL) bevatten, die, wanneer uitgevoerd, de Emotet laten vallen en uitvoeren laadvermogen.
De nieuwe reeks social engineering-aanvallen zou hebben plaatsgevonden tussen 4 april 2022 en 19 april 2022, toen andere wijdverbreide Emotet-campagnes werden opgeschort.
De afwezigheid van macro-enabled Microsoft Excel- of Word-documentbijlagen is een significante verschuiving ten opzichte van eerder waargenomen Emotet-aanvallen, wat suggereert dat de dreigingsactor wegdraait van de techniek als een manier om de plannen van Microsoft te omzeilen om VBA-macro’s standaard te blokkeren vanaf april 2022 .
De ontwikkeling komt ook als de malware-auteurs vorige week een probleem opgelost dat voorkwam dat potentiële slachtoffers gecompromitteerd raakten bij het openen van de bewapende e-mailbijlagen.
“Na maanden van consistente activiteit verandert Emotet de zaken”, zegt Sherrod DeGrippo, vice-president van dreigingsonderzoek en -detectie bij Proofpoint.
“Het is waarschijnlijk dat de dreigingsactor nieuw gedrag op kleine schaal test voordat het breder aan slachtoffers wordt aangeboden, of om te verspreiden via nieuwe TTP’s naast de bestaande grootschalige campagnes. Organisaties moeten op de hoogte zijn van de nieuwe technieken en ervoor zorgen dat ze implementeren verdediging dienovereenkomstig.”
