Eine neue Banking – Malware hat Trend Micro entdeckt. Das Schadprogramm EMOTET ist dabei ein integrierter Netzwerk-Sniffer, der alle Aktivitäten im Netzwerk überwacht, um persönliche Informationen zu stehlen.
Die Spam-Nachrichten beschäftigen sich Trend Micro zufolge mit angeblichen Überweisungen, die ein Nutzer getätigt haben soll, oder enthalten Rechnungen für Online-Einkäufe. Sie sollen Nutzer verleiten, auf eingebettete Links zu klicken, die wiederum zu einem Download der Emotet-Malware führen. Einmal in das System gelangt lädt die Schadware unter anderem auch eine Konfigurationsdatei nach, Analysen verschiedener EMOTET-Varianten hätten gezeigt, dass unter anderem Banken in Deutschland auf der Liste der zu überwachenden Websites stehen. Laut Trend Micro lädt EMOTET auch eine DLL-Datei herunter, die in alle laufenden Prozesse eingefügt wird. Sie soll jeglichen ausgehenden Netzwerkverkehr abfangen und aufzeichnen. Habe sie Zugriff auf den Browser, vergleiche sie die aktuell angezeigte Website mit den Angaben in der zuvor geladenen Konfigurationsdatei. “EMOTET kann sogar Daten abhören, die über gesicherte Verbindungen gesendet werden”, da es sich an verschiedene Netzwerk-APIs ankoppeln könne. “Der Einsatz von Netzwerk-Sniffern erschwert zudem eine Entdeckung der schädlichen Aktivitäten durch Nutzer, da keine Manipulationen sichtbar sind (wie beispielsweise ein zusätzliches Eingabefeld auf einer Phishing-Seite). Darüber hinaus kann es sogar eine angeblich sichere Verbindung wie HTTPS umgehen, was eine Gefahr für persönliche Informationen und Anmeldedaten für Online-Banking darstellt.”, heißt es von Seiten TrendMicro. Weiterhin heißt es “Die Speicherung von Dateien und Daten in Registry-Einträgen kann als Methode angesehen werden, um einer Erkennung zu entgehen. Normale Nutzer prüfen ihre Registrierungsdatei nicht auf mögliche schädliche oder verdächtige Aktivitäten, im Gegensatz zu neuen und ungewöhnlichen Dateien. Das kann aus demselben Grund auch als Gegenmaßnahme zu einer signaturbasierten Erkennung durch eine Antivirensoftware dienen.”Die meisten Infektionen habe man in Deutschland entdeckt. Andere europäische Länder sowie Nordamerika und der asiatisch-pazifische Raum seien aber auch betroffen.
