Bonet Emotet infiziert Google Chrome-Benutzer mit Infostealer

vor 5 Monaten · 0 comments
post-image

Das Botnetz begann, Benutzersysteme mit einem neuen Modul zum Stehlen von Bankkartendaten zu infizieren.

Das Emotet-Botnet infiziert jetzt potenzielle Opfer mit einer Malware, die Kreditkarteninformationen aus Google Chrome-Benutzerprofilen stiehlt. Nach dem Diebstahl der Daten (Vor- und Nachname des Karteninhabers, Ablaufdatum, Nummer) sendet die Malware diese an fremde C&C-Server, die nichts mit dem Infostealer zu tun haben.

„Am 6. Juni entdeckten Proofpoint-Experten ein neues Emotet-Modul, das vom E4-Botnet bereitgestellt wurde. Zu unserer Überraschung stellte sich heraus, dass es sich um einen Infostealer handelt, der Bankkartendaten stiehlt und nur Benutzer des Chrome-Browsers angreift. Die gesammelten Daten werden an einen anderen C&C-Server gesendet als den, von dem aus der Modullader verteilt wird“, sagte Proofpoint Threat Insights gegenüber BleepingComputer.

Dies begann nach dem Anstieg der Emotet-Aktivität im April dieses Jahres und dem Übergang zu 64-Bit-Modulen.

Eine Woche später begann die Malware, LNK-Dateien zu verwenden, um PowerShell-Befehle auszuführen, um angegriffene Geräte zu infizieren, und Microsoft Office-Makros aufgegeben, die seit Anfang April 2022 standardmäßig deaktiviert waren.

Die Malware Emotet wurde 2014 erstellt und diente damals zur Verbreitung von Banking-Trojanern. Es entwickelte sich dann zu einem Botnetz, das von der TA542-Gruppe (Mummy Spider) verwendet wurde, um die Nutzlast der zweiten Stufe zu liefern. Darüber hinaus können Sie mit Emotet Benutzerdaten stehlen, Aufklärung in einem kompromittierten Netzwerk durchführen und zu anfälligen Geräten ausweichen.

Emotet ist auch dafür bekannt, Qbot- und Trickbot-Malware an kompromittierte Systeme zu liefern, die verwendet werden, um zusätzliche Software bereitzustellen, darunter Cobalt-Strike-Beacons und Ryuk- und Conti-Ransomware.

Anfang 2021 wurde die Emotet-Infrastruktur im Rahmen einer Strafverfolgungsoperation offline geschaltet. Deutsche Strafverfolgungsbehörden setzten diese Infrastruktur gegen das Botnetz selbst ein – sie verteilten darüber ein Modul, das Malware auf infizierten Systemen entfernt.

Das Botnetz kehrte im November 2021 unter Verwendung der bereits bestehenden TrickBot-Infrastruktur zurück.

Comment