Malware: Emotet verschickt gestohlene E-Mail-Anhänge
Emotet antwortet nicht mehr nur auf E-Mails - die Schadsoftware versendet auch unveränderte Anhänge mit, damit die Schad-E-Mails noch echter wirken.

Die Schadsoftware Emotet klinkt sich nicht mehr nur in Konversationen ein, sondern nutzt zudem auf den Rechnern der Opfer gesammelte E-Mail-Anhänge und Kontaktlisten, um möglichst authentische E-Mails zu generieren. Diese sollen die Betroffenen dazu animieren, einen in der E-Mail enthaltenen Link zu besuchen und die dort hinterlegte Office-Datei zu öffnen. Diese wiederum enthält wie gewohnt Schad-Makros, über die sich die Schadsoftware im System einnistet - sofern die betroffene Person die Makros erlaubt.
Laut der Emotet-Tracking-Gruppe Cryptolaemus kopiert die Schadsoftware jedoch nur Anhänge, die nicht größer als 131.072 Byte sind. Diese werden einfach unverändert an die E-Mail angehängt, teils gemeinsam mit ebenfalls aus den E-Mails von Emotet-Betroffenen kopiertem Text. "Dies verleiht ihren Phishing-E-Mails noch mehr Authentizität. In einem Beispiel fanden wir 5 gutartige Anhänge und einen Dropper-Link innerhalb des vordefinierten Teils der E-Mail", teilte die Sicherheitsfirma Cofense dem Onlinemagazin Bleepingcomputer mit.
Nach einer fünfmonatigen Pause ist Emotet seit dem 17. Juli wieder aktiv. Wurde ein Rechner infiziert, lädt sie wie zuvor weitere Schadsoftware nach. Als erstes setzt sie auf Malware wie Trickbot oder Qakbot, die es auf Zugangs- und Bankdaten auf den befallenen Systemen abgesehen hat.
Mit etwas Verzögerung werden dann Ransomwares wie Ryuk oder Prolock nachgeladen, welche die Dateien auf den Rechnern verschlüsseln und Lösegeld fordern. Wird die Infektion frühzeitig bemerkt, können die Zeitfenster von Admin-Teams genutzt werden, um die Rechner vom Netz zu nehmen und das Schlimmste zu verhindern.
Auch Emotet selbst hat jedoch mit Sicherheitsproblemen zu kämpfen. Die verlinkten Dateien werden häufig auf gehackten Wordpress-Seiten abgelegt. Einer Hackergruppe ist es jedoch gelungen, diese zu übernehmen und die schädlichen Office-Dateien von Emotet durch ungefährliche, animierte GIFs zu ersetzen. Die Kapazitäten von Emotet sollen dabei zwischenzeitlich auf rund ein Viertel abgesenkt worden sein.
Im letzten Jahr legte Emotet etliche Behörden und Firmen lahm, darunter das Berliner Kammergericht, das bis heute mit den Folgen der Infektion zu kämpfen hat.
Der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) bezeichnete Emotet daraufhin als "König der Schadsoftware". Manche Behörden nehmen daher keine E-Mails mehr an, die Office-Dokumente oder Links enthalten.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Warum nicht einfach generell Makros abschalten? Oder warum lassen Behörden/Firmen...
Hallo ikhaya, Danke für den Hinweis. Haben wir geändert. Viele Grüße Moritz