Malware: Emotet verschickt gestohlene E-Mail-Anhänge

Emotet antwortet nicht mehr nur auf E-Mails - die Schadsoftware versendet auch unveränderte Anhänge mit, damit die Schad-E-Mails noch echter wirken.

Artikel veröffentlicht am ,
Noch authentischer mit echtem Anhang: Emotet-Mails.
Noch authentischer mit echtem Anhang: Emotet-Mails. (Bild: Mohamed Hassan/Pixabay)

Die Schadsoftware Emotet klinkt sich nicht mehr nur in Konversationen ein, sondern nutzt zudem auf den Rechnern der Opfer gesammelte E-Mail-Anhänge und Kontaktlisten, um möglichst authentische E-Mails zu generieren. Diese sollen die Betroffenen dazu animieren, einen in der E-Mail enthaltenen Link zu besuchen und die dort hinterlegte Office-Datei zu öffnen. Diese wiederum enthält wie gewohnt Schad-Makros, über die sich die Schadsoftware im System einnistet - sofern die betroffene Person die Makros erlaubt.

Laut der Emotet-Tracking-Gruppe Cryptolaemus kopiert die Schadsoftware jedoch nur Anhänge, die nicht größer als 131.072 Byte sind. Diese werden einfach unverändert an die E-Mail angehängt, teils gemeinsam mit ebenfalls aus den E-Mails von Emotet-Betroffenen kopiertem Text. "Dies verleiht ihren Phishing-E-Mails noch mehr Authentizität. In einem Beispiel fanden wir 5 gutartige Anhänge und einen Dropper-Link innerhalb des vordefinierten Teils der E-Mail", teilte die Sicherheitsfirma Cofense dem Onlinemagazin Bleepingcomputer mit.

Nach einer fünfmonatigen Pause ist Emotet seit dem 17. Juli wieder aktiv. Wurde ein Rechner infiziert, lädt sie wie zuvor weitere Schadsoftware nach. Als erstes setzt sie auf Malware wie Trickbot oder Qakbot, die es auf Zugangs- und Bankdaten auf den befallenen Systemen abgesehen hat.

Mit etwas Verzögerung werden dann Ransomwares wie Ryuk oder Prolock nachgeladen, welche die Dateien auf den Rechnern verschlüsseln und Lösegeld fordern. Wird die Infektion frühzeitig bemerkt, können die Zeitfenster von Admin-Teams genutzt werden, um die Rechner vom Netz zu nehmen und das Schlimmste zu verhindern.

Auch Emotet selbst hat jedoch mit Sicherheitsproblemen zu kämpfen. Die verlinkten Dateien werden häufig auf gehackten Wordpress-Seiten abgelegt. Einer Hackergruppe ist es jedoch gelungen, diese zu übernehmen und die schädlichen Office-Dateien von Emotet durch ungefährliche, animierte GIFs zu ersetzen. Die Kapazitäten von Emotet sollen dabei zwischenzeitlich auf rund ein Viertel abgesenkt worden sein.

Im letzten Jahr legte Emotet etliche Behörden und Firmen lahm, darunter das Berliner Kammergericht, das bis heute mit den Folgen der Infektion zu kämpfen hat.

Der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) bezeichnete Emotet daraufhin als "König der Schadsoftware". Manche Behörden nehmen daher keine E-Mails mehr an, die Office-Dokumente oder Links enthalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Zbox Pico PI430AJ
Flotter Mini-PC mit Solid-State-Kühlung

Die fast lautlosen Kühler von Frore Systems funktionieren gut. Mehr Leistung auf so kleinem Raum ist kaum möglich. Eine ARM-CPU wäre aber spannend.
Ein Test von Martin Böckmann

Zbox Pico PI430AJ: Flotter Mini-PC mit Solid-State-Kühlung
Artikel
  1. Kernfusion: US-Fusionslabor erreicht konsistent Zündungen
    Kernfusion
    US-Fusionslabor erreicht konsistent Zündungen

    Vor einem Jahr gelang der US-Forschungseinrichtung NIF ein wichtiger Fortschritt bei der Kernfusion. Der wurde inzwischen mehrfach wiederholt.

  2. Honeybee Robotics: Riesige Leucht- und Energietürme für den Mond
    Honeybee Robotics
    Riesige Leucht- und Energietürme für den Mond

    Ein Start-up plant die Errichtung einer Infrastruktur auf dem Mond. Riesige Leuchttürme sollen Energie generieren und zukünftigen Rovern ihren Weg weisen.

  3. Energiewende: Deutsche Stromnetze im Dornröschenschlaf
    Energiewende
    Deutsche Stromnetze im Dornröschenschlaf

    IT ist der Game Changer der Energiewende - nur nicht in Deutschland.
    Eine Analyse von Gerd Mischler

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Last-Minute-Angebote bei Amazon • Avatar & The Crew Motorfest bis -50% • Xbox Series X 399€ • Cherry MX Board 3.0 S 49,95€ • Crucial MX500 2 TB 110,90€ • AVM FRITZ!Box 7590 AX + FRITZ!DECT 500 219€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /