Nieuwe trojan omzeilt meerderheid van antivirusprogramma’s

Er is een banking trojan aangetroffen die de meerderheid van de actieve antivirusprogramma’s weet te omzeilen. Security-onderzoekers van Bromium ontdekten dat de malware in staat is om onopgemerkt te blijven bij 50 van de 65 geteste programma’s, wat neerkomt op meer dan 75 procent.

De kwaadaardige software, ook wel Emotet (die nu op een nieuwe manier terug is), is hiertoe in staat door zichzelf voortdurend opnieuw te verpakken. Normaliter past de malware-schrijver alleen de verpakking van een distributiemethode aan, zoals bijvoorbeeld een PDF of Word-document. Daardoor kan een antivirusprogramma al op de hoogte zijn van het programma. Daar brengt Emotet dus verandering in door documenten die de trojan verspreiden continu opnieuw te verpakken.

Gevolgen

De onderzoekers zien dit als een een teken dat schrijvers van malware hun methodes aan het verbeteren zijn. Zij vrezen dan ook dat de ontwikkeling gekopieerd gaat worden door andere hackers. Matt Rowen, software engineer van Bromium, denkt zelfs dat dit problemen op kan leveren voor makers van antivirusprogramma’s. Zij zullen zich in een situatie gaan bevinden die ze niet kunnen winnen, beweert Rowen.

Wat betreft het kopiëren geeft het bedrijf aan dat hackers eerder al aantoonden dat ze hetzelfde proces van elkaar imiteren. Na de WannaCry-aanval was er bijvoorbeeld een enorme piek te zien in malware die de Ethernal Blue-exploit gebruikt. De technieken die het bedrijf waarneemt zijn eenvoudig toe te passen op andere typen malware. In potentie levert dit grote zorgen op voor bedrijven die vertrouwen op detect-to-protect security tools, zoals antivirussoftware.

Voorkomen

Om besmetting te voorkomen raadt Bromium aan om onbekende bestanden ook niet te openen. Ook het up-to-date houden van besturingssystemen en programma’s kan helpen bij het voorkomen van Emotet. De enige manier om dit soort aanvallen te voorkomen is de applicatie te isoleren met behulp van virtualisatie. Dit betekent bijvoorbeeld dat malware onder controle blijft als een e-mail bijlage geopend wordt in geïsoleerde micro-VM’s.