Warnung vor Banking-Trojaner Qakbot und Emotet

Auch Unternehmen im Focus

Laut Microsoft sollen die Banking-Trojaner Qakbot und Emotet  ihre Attacken nun auch auf Unternehmen abzielen, informierte zdnet.de. Sie nutzen dabei die Technik der Ransomware WannaCry, um sich in Firmennetzwerken auszubreiten.

Im Juli fanden Forscher erstmals Varianten von Emotet sowie des Banking-Trojaners Trickbot, die den WannaCry-Exploit integrierten. Microsoft teilte dazu mit:

„Die jüngsten Varianten dieser Malware-Familien haben Verbreitungsmöglichkeiten, die die Wahrscheinlichkeit von mehreren Infektionen in Unternehmensnetzwerken erhöhen

 „Sie können auch mithilfe anderer Malware verbreitet werden.“

Die Fähigkeiten der Trojaner

Qakbot und Emotet können offensichtlich:

• beliebige Netzwerkfreigaben und –laufwerke angreifen, inklusive USB-Laufwerken
• Anmeldedaten sammeln, um sich über voreingestellte Freigaben sowie gemeinsam genutzte Ordner zu verbreiten
• Sie versuchen die Passwörter für Active-Directory-Konten zu erraten

Laut Microsoft haben die Infektionen durch beide Trojaner in den Monaten Mai und August 2017 deutlich zugenommen. Während 18 Prozent der Emotet-Infektionen zwischen Januar und August Unternehmen betrafen, waren es bei Qakbot in diesem Zeitraum schon 40 Prozent der von Microsoft registrierten Funde.

Der Infektionsweg

Es sind wie so oft Dateianhänge über die die Trojaner auf einen Rechner gelangen. Nach deren Ausführung beginnt ihr schädliches Werk:

• Sie richten sich als Windows-Dienst oder über die Registry als Autostart-Programm ein.
• Die Trojaner legen unter Umständen auch geplante Aufgaben an, die eine regelmäßige Ausführung gewährleisten.
• Sie kommunizieren über verschlüsselte HTTP- oder FTP-Verbindungen.
• Einige neuere Emotet-Varianten laden über ihre Befehlsserver sogar zusätzliche Malware-Module herunter.
• Beide Schadprogramme können Tastatureingaben aufzeichnen sowie Browser- oder Netzwerk-APIs kapern.
• Sie lesen Cookies aus, um Informationen zu stehlen.