Ondanks een afwezigheid van bijna vier maanden, was de terugkeer van 'Emotet' in de laatste twee weken van september goed voor bijna 12 procent van alle kwaadaardige e-mailvoorbeelden in het derde kwartaal, waardoor miljoenen berichten met kwaadaardige URL's of bijlagen werden afgeleverd, vond Proofpoint.
Emotet keert terug, organisaties moeten reageren
"De terugkeer van Emotet naar het dreigingslandschap en de nieuwste sextortion-malware zijn slechts de nieuwste voorbeelden van hoe cybercriminelen hun aanvallen voortdurend vernieuwen en verbreden in de hoop op een effectievere aanpak van individuen binnen organisaties," zei Chris Dawson, lead intelligence bij Proofpoint.
Omdat aanvallers gebruik maken van een hoger niveau van sociale engineering en verfijning, is het van cruciaal belang dat organisaties een mensgerichte beveiligingsaanpak implementeren die zijn gebruikers verdedigt en voorlicht, omdat zij het primaire doelwit blijven.
Distributie van Emotet over de hele wereld
TA542, de cybercriminele groep die verantwoordelijk is voor de distributie van Emotet, breidde zijn regionale targeting in deze periode ook uit naar verschillende nieuwe landen, waaronder Italië, Spanje, Japan, Hong Kong en Singapore.Terugkerend naar methoden waar de groep begin 2019 van was afgeweken, omvatte de heropleving van TA542 zeer gerichte seizoensgebonden en actueel relevante lokmiddelen in plaats van generieke financiële thema's. Op 23 september zag Proofpoint bijvoorbeeld dat de acteur gebruik maakte van nieuwsgerelateerde "Snowden" kunstaas.
Engels-talige e-targeting Amerikaanse en Britse organisaties met een bijlage die, wanneer deze wordt geopend, zal de ontvanger gevraagd om Visual Basic / Microsoft Word-macro's die Emotet zal downloaden uit te voeren
Franstalige e-targeting Franse en Zwitserse klanten met een bijlage die, wanneer deze wordt geopend, zal de ontvanger om Visual Basic / Microsoft Word-macro's die Emotet zal downloaden uitvoeren prompt. We hebben ook waargenomen in de lokale taal, geo-gerichte e-mails in het Duits, Castiliaans, en nog veel meer een poging om Emotet installeren.
Verschuiving in het sextortion-playbook
Naast Emotet constateerden onderzoekers een potentiële verschuiving in het sextortion-playbook met het verschijnen van nieuwe malware die tastbaar bewijs kan leveren voor volwassen activiteit voor bedreigingsactoren.
PsiXBot, een Trojan (RAT) voor externe toegang, breidde zijn communicatiemogelijkheden in september uit met de toevoeging van een nieuwe "PornModule", die een woordenboek bevat met pornografiegerelateerde trefwoorden die worden gebruikt om titels van open vensters te controleren.
Als een venster overeenkomt met de tekst, begint het met het opnemen van audio en video op de geïnfecteerde machine. Eenmaal opgenomen, wordt de video opgeslagen met de extensie ".avi" en verzonden naar de opdracht- en controleserver en vervolgens (vermoedelijk) gebruikt voor afpersingsdoeleinden.
Over het algemeen bleef sextortion ongebreideld in het derde kwartaal, met opmerkelijke campagnes die gebruik maakten van social engineering verzonden via het Phorpiex-botnet.
Voorbeeld e-mailbijlage aanvragen van Bitcoin betaling door een sextortion social engineering acteur
Aanvullende bevindingen
- Het wereldwijde volume van gecombineerde kwaadaardige URL's en bijlagen daalde met bijna 40 procent vergeleken met het tweede kwartaal, grotendeels als gevolg van de afwezigheid van Emotet gedurende de eerste 10 weken van het kwartaal.
- Schadelijke URL's vormden 88 procent van het totale volume van gecombineerde kwaadaardige URL's en bijlagen, een lichte stijging ten opzichte van het tweede kwartaal, maar over het algemeen in lijn met de trend voor 2019.
- Meer dan 26 procent van de frauduleuze domeinen gebruikte SSL-certificaten, meer dan driemaal het aantal domeinen op internet. Dit draagt dramatisch bij aan sociale engineering rond deze domeinen, omdat we geconditioneerd zijn om naar het hangslotsymbool te zoeken als een teken van beveiliging en veiligheid tijdens het browsen.
- Ransomware bleef vrijwel afwezig als primaire lading in kwaadaardige e-mails, met uitzondering van kleinere campagnes die over het algemeen Troldesh en Sodinokibi verspreiden.
- Bedreigingsactoren maakten gebruik van de Keitaro TDS in zowel malvertising- als URL-gebaseerde e-mailaanvallen, voortbouwend op de trend van complexere aanvalsketens en omleidingen om hun activiteiten te verbergen en meerdere vectoren te exploiteren, inclusief exploitkits.
BRON: proofpoint, dutchitchannel, helpnetsecurity
SCHRIJVER: BiG’r
Reactie plaatsen
Reacties