De code, infrastructuur en beveiliging van Emotet is verbeterd en het aantal command-and-control servers (C&C’s) breidt zich rap uit. Het onderzoeksproject Abuse.ch houdt een lijst bij van botnet C&C’s en op Virustotal staan meer voorbeelden van de Emotet loader die van nut kunnen zijn bij de bescherming van systemen.
Spam
Op systemen die met de TrickBot-Malware waren besmet, werd ook Emotet-Malware geïnstalleerd. De nieuwe met Emotet besmette machines versturen e-mails met malafide e-mailbijlagen en dus gaat de terugkeer van Emotet gepaard met een toename van phishing. Deze spamcampagne maakt gebruik van Reply-chain phishing e-mails, oftewel het hergebruiken van eerder verzonden e-mail die gestolen zijn. Een dergelijke e-mail kan zo zeer vertrouwd overkomen, dat het de kans op het openen van een besmette Word of Excel bijlage vergroot. Wanneer een dergelijke e-mail is geopend, gaan malafide macro’s of Javascript’s aan het werk en wordt de Emotet Malware gedownload en geactiveerd.
Macro’s
Hoe houdt je Emotet buiten de deur? Dring er bij iedereen op aan alert te zijn voor dergelijke mails. Het potentiële gevaar van de macro’s kan vermindert worden door Office macro’s niet meer toe te staan of te reguleren. Z-CERT houdt de opmars van Emotet in de gaten en deelt zoveel mogelijk IoC’s in het ZorgDetectieNetwerk (ZDN), in de hoop dat een besmetting, mocht die onverhoopt toch plaatsvinden, snel aan het licht komt.