Malware: Emotet ist zurück
Sicherheitsforscher haben eine neue Variante von Emotet entdeckt. Noch wird der Schädling von einer anderen Malware nachgeladen.

Die als besonders gefährlich geltende Schadsoftware Emotet ist wieder da. Die Emotet-Tracking-Gruppe Cryptolaemus sowie die Sicherheitsfirmen GData und Advanced Intel haben eine neue Variante von Emotet auf einem mit der Schadsoftware Trickbot infizierten System entdeckt.
Während Emotet früher Rechner infiziert und anschließend Trickbot zum Ausspähen von Zugangsdaten nachgeladen hatte, nutzen Bedrohungsakteure nun eine Methode, die Cryptolaemus als Operation Reacharound bezeichnet: Das Emotet-Botnetz wird unter Verwendung der bestehenden Trickbot-Infrastruktur neu aufgebaut.
"Der international koordinierte Takedown von Emotet zeigte über viele Monate Wirkung und bewahrte viele Opfer vor Schaden, wozu wir allen beteiligten Behörden gratulieren. Unsere aktuellen Analysen machen gleichwohl deutlich, dass Emotet jetzt zurück ist - das zeige die manuelle Analyse aktueller Schadsoftware-Samples", sagte Dr. Tilman Frosch, Geschäftsführer der GData Advanced Analytics.
Emotet-Sample ist aktuell
Dass es bisher noch keine nennenswerten Spam-Aktivitäten gebe, liege wahrscheinlich daran, dass das Emotet-Botnetz im Zuge des Takedowns nachhaltig gestört worden sei, erklärt GData. Der Code des nun identifizierten Samples ähnele Emotet in der Quellcodestruktur sehr, weise aber auch Unterschiede auf. So würde zwar weiterhin auf HTTPS gesetzt, nun jedoch mit einem selbstsignierten Zertifikat. Laut Vitali Kremez von Advanced Intel wurde die nun entdeckte Emotet-Loader-DLL am 14. November kompiliert und ist damit nur knapp zwei Tage alt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht allein in Deutschland von mehreren Zehntausend Emotet-Betroffenen aus. Darunter waren Firmen, aber auch etliche Behörden wie das Kammergericht in Berlin. BSI-Präsident Arne Schönbohm nannte Emotet im Jahr 2019 gar den "König der Schadsoftware".
Auf den mit dem Emotet-Takedown beschlagnahmten Servern fanden sich auch 4,3 Millionen Zugangsdaten zu E-Mail-Konten. Diese gab das FBI an den Dienst Have I Been Pwned (HIBP) weiter. Dort kann überprüft werden, ob man zu den Betroffenen zählt.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed