Emotets botnät har nu en ny modul som stjäl kreditkortsinformation lagrad i Google Chromes användarprofiler.

Emotet upptäcktes först av cybersäkerhetsforskare på Proofpoint, som släppte den nya modulen den 6 juni. Den försöker stjäla namn, utgångsdatum och kortnummer som lagras i Chrome-användarprofiler. En intressant detalj är att tjuven extraherar data till en annan kommando- och kontrollserver (C2) än modulladdaren.

Emotet har fått nog av ett trick. Den togs nästan helt bort från webben för ett år sedan när tyska myndigheter använde sin egen infrastruktur för att tillhandahålla en modul som avinstallerade skadlig programvara (öppnas i en ny flik) från alla infekterade enheter.

emote är tillbaka

Den återkom sex månader senare, i november 2021, när flera cybersäkerhetsforskare upptäckte att Trickbot försökte ladda ner en DLL, identifierad som Emotet, på systemet.

För lite över en månad sedan rapporterades Emotet-operatörer gå bort från Microsoft Office-makron för distribution och mot Windows Genvägsfiler (.lnk).

Skadlig programvara sågs först i naturen 2014. Då användes den som en banktrojan, men har sedan dess utvecklats till ett botnät. Vissa forskare tror att det utvecklades av en hotaktör känd som Mummy Spider (AKA TA542) för att fungera som en droppare för virus i andra stadiet. Bland annat sågs Emotet lansera Qbot och Trickbot som i sin tur sågs leverera Cobalt Strike beacons och olika stammar av ransomware (öppnas i en ny flik), inklusive Ryuk eller Conti.

Idag kan den stjäla känslig och personligt identifierbar data, spionera på trafik som passerar genom komprometterade nätverk och röra sig i sidled.

ESETs cybersäkerhetsforskare sa nyligen att Emotet har sett en betydande ökning i aktivitet i år, "med aktiviteten som ökade med mer än 100 gånger jämfört med tredje kvartalet 2021."

Via: BleepingComputer (öppnas i en ny flik)

Dela detta