Verschlüsselung & Datensicherheit

Banking-Trojaner Emotet mit neuartiger Angriffsmethode aktiv

Er hat nach wie vor nichts von seiner Gefährlichkeit eingebüßt, der Banking-Trojaner Emotet. Mit dem nachladen von Schadprogrammen sind hohe Schäden für Betroffene verbunden. Die Sicherheitsspezialisten von Cisco Talos prognostizieren eine Zunahme derartiger modularer Malware-Familien.

Zahlreiche Kampagnen mit Emotet registriert

Ciscos Sicherheitssparte Talos hat in jüngster Zeit mehrere Malwarekampagnen mit dem Banking-Trojaner Emotet beobachtet, der seit Jahren immer wieder für umfangreiche Schadensfälle sorgt. Im Mittelpunkt stehen an E-Mails angehängte Microsoft-Word-Dateien, in denen bösartige Makros für den Download von Emotet eingebettet sind, wie zdnet.de dazu berichtete.

Angreifer überwinden Spamfilter

Wie es weiter dazu heißt, kann die jüngste Variante zusätzlich ermitteln, ob die kompromittierte Domain, von der aus die bösartigen Mails versandt werden, bereits auf einer Sperrliste verzeichnet ist. Damit können Angreifer sicherstellen, dass mehr ausgesandte Nachrichten tatsächlich bei potentiellen Opfern ankommen und nicht in Spamfiltern hängen bleiben.

Wie schon bei früheren Angriffswellen setzen die Hintermänner Emotet ein, um modulare Schadsoftware auszuliefern. Neben Banking-Trojanern können das auch andere Bedrohungen wie etwa Ransomware sein. Die Auswahl der Module erfolgt offenbar nach den jeweils besten Aussichten, mit den infizierten Systemen Geld zu verdienen. Emotet begann einst als reiner Banking-Trojaner, hat sich aber in den letzten Jahren immer weiter entwickelt und fiel in jüngerer Zeit durch zahlreiche gezielte Infektionen mit Ryuk-Ransomware auf.

Angriff über Office-Dokumente mit Makros

Emotet erreicht die Opfer meist über angehängte Office-Dokumente mit Makros, aber auch URL-basierte Spam-Nachrichten können zu einer möglichen Infektion führen.

Laut Cisco Talos verändern und entwickeln sich die Kampagnen täglich, und auch die unterstützende Infrastruktur ist einem ständigen Wandel unterworfen. Zu beobachten sei, dass Emotet manche Kommando- und Kontrollserver über längere Zeiträume immer wieder verwendet.

Attacken über E-Mails und direkten URL-Download

Emotet ist offenbar geschickt darin, die Betreffzeilen der versandten Mails immer wieder zu verändern, so dass selten eine große Anzahl von E-Mails mit einem identischen Betreff auffällt. Auch bei den zuletzt beobachten Kampagnen ging es vor allem um angebliche Rechnungen und anstehende Paketlieferungen. Die versandten E-Mails sind außerdem in verschiedenen Sprachen einschließlich Deutsch verfasst.

Eine zweite Kampagnenversion setzt auf direkten URL-Download anstelle angehängter Office-Dokumente mit Makros, um die Malware ans Ziel zu bringen. Das Hosting der Malware erfolgt überwiegend auf zuvor kompromittierten Websites.

Zunahme modularer Malware-Familien erwartet

Cisco Talos erwartet eine weitere Zunahme modularer Malware-Familien wie Emotet, die unterschiedliche Schadsoftware ausliefern und die Gewinnaussichten der Hintermänner maximieren.

Dazu kommentieren die Sicherheitsforscher:

„Wie die kürzlich eingeführte Überprüfung auf Sperrlisten durch das Spam-Modul zeigt, sucht Emotet die finanziellen Vorteile unter allen Umständen zu maximieren und gleichzeitig Varianten weniger einzusetzen, die einen geringeren Ertrag versprechen“

„Solche Veränderungen sind es, die Emotet am oberen Ende der Crimeware-Landschaft halten.“

Warnung der Deutschen Telekom

Wie weiter dazu verlautete, warnte schon im letzten Monat die Deutsche Telekom ihre Kunden vor massenhaft versandten Phishing-Mails einer so genannten „Emotet-Gang“ von Cyberkriminellen. An die Mails waren gefälschte Rechnungen als Word-Dateien angehängt, die Makros enthielten. Ließen Empfänger deren Ausführung zu, mussten sie mit der Installation von Malware rechnen. Schadsoftware konnte sich auch einhandeln, wer auf in einem angehängten PDF-Dokument enthaltene Links klickte.

Die Telekom empfahl die sofortige Löschung verdächtiger Mails, ohne auf Links innerhalb einer solchen Nachricht zu klicken. Während sie im Fall einer bereits erfolgten Infektion die Säuberung mit einer Software wie EU-Cleaner empfahl, geht das BSI für Bürger in einer aktuellen Information zur Schadsoftware Emotet weiter und rät, einen infizierten Rechner neu aufzusetzen. Bereinigungsversuche bleiben laut BSI in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.

Emotet hochgefährlich

Darüber hinaus meldet das BSI (Bundesamt für Sicherheit in der Informationstechnik), dass Emotet ganze Unternehmensnetzwerke lahmlegt. Es gelte als eine der weltweiten gefährlichsten Malware-Bedrohungen und sorge auch in Deutschland für hohe Schadensfälle, indem es weitere Schadprogramme nachlädt. An Unternehmen und Institutionen richten sich die empfohlenen Maßnahmen zum Schutz vor Emotet, die das BSI im Rahmen der Allianz für Cyber-Sicherheit ausspricht.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben