Bildquelle: © Toptal
Die berüchtigte Emotet-Malware hat ein neues Modul entwickelt, um Kreditkarteninformationen abzuschöpfen, die im Chrome-Webbrowser gespeichert sind.
Der Kreditkartendieb, der ausschließlich Chrome angreift, kann die gesammelten Informationen an verschiedene entfernte Command-and-Control (C2)-Server weiterleiten, so das Sicherheitsunternehmen Proofpoint, das die Komponente am 6. Juni beobachtete.
Die Entwicklung fällt in eine Zeit, in der die Aktivitäten von Emotet sprunghaft angestiegen sind, seit es Ende letzten Jahres nach einer zehnmonatigen Unterbrechung wieder aufgetaucht ist, nachdem die Strafverfolgungsbehörden im Januar 2021 seine Angriffsinfrastruktur ausgeschaltet hatten.
Emotet, das einem als TA542 (auch bekannt als Mummy Spider oder Gold Crestwood) bekannten Bedrohungsakteur zugeschrieben wird, ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner, der über E-Mail-Kampagnen verbreitet wird und als Verteiler für andere Nutzlasten wie Ransomware dient.
Laut Check Point ist Emotet im April 2022 immer noch die beliebteste Malware mit einer globalen Auswirkung auf 6 % der Unternehmen weltweit, gefolgt von Formbook und Agent Tesla. Die Malware testet neue Verbreitungsmethoden unter Verwendung von OneDrive-URLs und PowerShell in .LNK-Anhängen, um die Makro-Beschränkungen von Microsoft zu umgehen.
Die stetige Zunahme von Bedrohungen im Zusammenhang mit Emotet wird auch durch die Tatsache untermauert, dass die Zahl der Phishing-E-Mails, die häufig bereits bestehende Korrespondenz missbrauchen, von 3.000 im Februar 2022 auf etwa 30.000 im März gestiegen ist, die im Rahmen einer groß angelegten Spam-Kampagne auf Organisationen in verschiedenen Ländern abzielen.
ESET stellte fest, dass die Emotet-Aktivitäten im März und April 2022 „einen höheren Gang eingelegt“ haben. Die Entdeckungen stiegen um das 100-fache und verzeichneten in den ersten vier Monaten des Jahres einen Zuwachs von über 11.000 % im Vergleich zum vorangegangenen Dreimonatszeitraum von September bis Dezember 2021.
Einige der häufigsten Ziele seit der Wiederauferstehung des Botnets waren Japan, Italien und Mexiko, so das slowakische Cybersicherheitsunternehmen. Die größte Welle wurde am 16. März 2022 verzeichnet.
„Der Umfang der jüngsten LNK- und XLL-Kampagnen von Emotet war deutlich geringer als die über kompromittierte DOC-Dateien verbreiteten Kampagnen vom März“, so Dušan Lacika, Senior Detection Engineer bei Dušan Lacika.
„Dies deutet darauf hin, dass die Betreiber nur einen Bruchteil des Potenzials des Botnets nutzen, während sie neue Verbreitungsvektoren testen, die die nun standardmäßig deaktivierten VBA-Makros ersetzen könnten.“
Die Erkenntnisse kommen auch daher, dass Forscher von CyberArk eine neue Technik zur Extraktion von Klartext-Anmeldeinformationen direkt aus dem Speicher in Chromium-basierten Webbrowsern demonstriert haben.
„Anmeldedaten werden im Speicher von Chrome im Klartext gespeichert“, so Zeev Ben Porat von CyberArk. „Zusätzlich zu den Daten, die dynamisch eingegeben werden, wenn man sich bei bestimmten Webanwendungen anmeldet, kann ein Angreifer den Browser dazu bringen, alle Passwörter, die im Passwortmanager gespeichert sind, in den Speicher zu laden.
Dazu gehören auch Cookie-bezogene Informationen wie Sitzungscookies, die es einem Angreifer ermöglichen, die Informationen zu extrahieren und zu verwenden, um Benutzerkonten zu kapern, selbst wenn diese durch eine Multi-Faktor-Authentifizierung geschützt sind.
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com