Auch Unternehmen im Focus
Laut Microsoft sollen die Banking-Trojaner Qakbot und Emotet ihre Attacken nun auch auf Unternehmen abzielen, informierte zdnet.de. Sie nutzen dabei die Technik der Ransomware WannaCry, um sich in Firmennetzwerken auszubreiten.
Im Juli fanden Forscher erstmals Varianten von Emotet sowie des Banking-Trojaners Trickbot, die den WannaCry-Exploit integrierten. Microsoft teilte dazu mit:
„Die jüngsten Varianten dieser Malware-Familien haben Verbreitungsmöglichkeiten, die die Wahrscheinlichkeit von mehreren Infektionen in Unternehmensnetzwerken erhöhen
„Sie können auch mithilfe anderer Malware verbreitet werden.“
Die Fähigkeiten der Trojaner
Qakbot und Emotet können offensichtlich:
- beliebige Netzwerkfreigaben und –laufwerke angreifen, inklusive USB-Laufwerken
- Anmeldedaten sammeln, um sich über voreingestellte Freigaben sowie gemeinsam genutzte Ordner zu verbreiten
- Sie versuchen die Passwörter für Active-Directory-Konten zu erraten
Laut Microsoft haben die Infektionen durch beide Trojaner in den Monaten Mai und August 2017 deutlich zugenommen. Während 18 Prozent der Emotet-Infektionen zwischen Januar und August Unternehmen betrafen, waren es bei Qakbot in diesem Zeitraum schon 40 Prozent der von Microsoft registrierten Funde.
Der Infektionsweg
Es sind wie so oft Dateianhänge über die die Trojaner auf einen Rechner gelangen. Nach deren Ausführung beginnt ihr schädliches Werk:
- Sie richten sich als Windows-Dienst oder über die Registry als Autostart-Programm ein.
- Die Trojaner legen unter Umständen auch geplante Aufgaben an, die eine regelmäßige Ausführung gewährleisten.
- Sie kommunizieren über verschlüsselte HTTP- oder FTP-Verbindungen.
- Einige neuere Emotet-Varianten laden über ihre Befehlsserver sogar zusätzliche Malware-Module herunter.
- Beide Schadprogramme können Tastatureingaben aufzeichnen sowie Browser- oder Netzwerk-APIs kapern.
- Sie lesen Cookies aus, um Informationen zu stehlen.
Microsoft warnt
In einem Blogeintrag gibt Microsoft zudem Tipps, um die weitere Verbreitung von Qakbot und Emotet einzudämmen sowie vorhandene Infektionen zu erkennen. Angepriesen werden in diesem Zusammenhang Windows 10 S und Edge sowie hauseigene Sicherheitsprodukte, die neue Infektionen verhindern sollen.
Weiterführende Links:
zdnet.de: Microsoft warnt Unternehmen vor Banking-Trojanern Qakbot und Emotet