ESET hat eine weitere große Emotet-Kampagne entdeckt. Aller Wahrscheinlichkeit nach hängt diese mit dem Black Friday Online-Shopping und den versendeten Bestätigungsmails über eine Bestellung zusammen. Die Emotet-Malware-Operatoren haben im Vergleich zur vorherigen Kampagne ihre Vorgehensweise leicht geändert. Emotet-Malware wird zwar nach wie vor durch Spam-E-Mails verbreitet. Allerdings beinhaltet der Anhang nun schädliche Makros in .docx-Dokumenten oder Links zu solchen, anstatt DOC- oder PDF-Dateien.
Als sekundäre schädliche Payload verteilt Emotet derzeit verschiedene Banking-Malware, darunter Ursnif, TrickBot und am häufigsten IcedId. Letztere lädt zudem eine weitere Payload herunter. Hierbei handelt es sich um Azorult (ESET erkennt diese Malware als Win32/PSW.Delf.OSF), welche für seine Fähigkeit bekannt ist, Kennwörter, Kreditkartendaten und den Zugriff auf das Krypto-Wallet zu stehlen. TrickBot wurde um mehrere britische und deutsche Banken in der Liste der Ziele ergänzt. Das stimmt mit den deutschen und englischen Betreffzeilen der Spam-E-Mails und deren Inhalt überein, welche ESET im neuesten Blog über Emotet beschreibt.
Ein Blick auf die geografische Verteilung der gegenwärtigen Angriffswelle verdeutlicht, dass die lateinamerikanischen Länder am stärksten betroffen sind. Mexiko, Ecuador und Argentinien führen die Liste an (Hundertausende Malware-Erkennungen). Die USA befinden sich in den Top-5-Zielländern, Großbritannien und Südafrika in den Top-10.
Indicators of Compromise (IoCs)
Emotet Payloads
| 02b614654f27b67aa3efcf94dcad3875696315ab | TrickBot |
|---|---|
| cda88d48c26afd383a996fe2c0ef87514389c189 | IcedId |
| 0977692f1accd541dd7c23eb76f5272d4321d868 | IcedId |
| 3b000e5e6de4d91443563792d69caac95b1038f0 | TrickBot |
| 086bc2718521e6e4aead498b57d20d3b2ec812e9 | Ursnif |
| 202604e7dc6c29ae75ad9f707ebbc8bf5367a631 | TrickBot |
| 844e6a4c31ae473702781603d8cdd5f9b3aa63c5 | IcedId |
| 6481172f509f80ee059b7dc20a2bf995b38aafd2 | TrickBot |
| 9e8972dd0130481e1e42504c7fdda1ffa353e473 | IcedId |
| db82d173e5afe207eeebacb65bd76cdbb67b5955 | TrickBot |
| 350e6b2f5728a17578923ab5a7640e0b57101447 | IcedId |
| 638d2c5b3331cdc2267d1036a9ff8e2efd08b316 | IcedId |
| 3c3624bfd75285c0d69f4867cc2adc5fb538888f | IcedId |
| f75e600d29189065208d116602a2a6fccebf1927 | IcedId |
| e38d371e17eeb34b6f94d05a208d0eb8a3b88f37 | IcedId |
| 765c272f914e85332d6e6a16e62645764f417379 | TrickBot |
| ea24d6f25077f8a82c5a09e0b22040293b8a50d6 | IcedId |
| d5d1c5c1af7c4e0346367cc1fdef0e788f25f1a6 | IcedId |
PSW.Delf.OSF – AZORult
| 3e435f2d58616e28972ad2c422f54e27680fb452 | Win32/GenKryptik.CRSJ trojan |
|---|---|
| f17a455dc012027486ad39c134984cadbe7e31ef | Win32/Kryptik.GMUX trojan |
| 00169e624343cfda397d7a6df77b3e776b54e5ec | Win32/Kryptik.GNEF |
