bot, Emotet
bot, Emotet

Emotet: Hacker sabotiert Botnetz, setzte Memes dafür ein

von Antonia Frank Lesezeit: 3 Min.

Die Infrastruktur des Botnet Emotet wird aktuell von einem unbekannten Hacker kompromittiert und dabei deren kriminelle Aktivitäten gestört.

Inhalt

Sicherheitsforscher stellten fest, dass die Infrastruktur des Malware Delivery Botnet Emotet von einem unbekannten Hacker kompromittiert wird und dabei die kriminellen Aktivitäten stört, berichtet ZDNet.

Emotet: größte Bedrohung durch Schadsoftware weltweit

Emotet gilt aktuell als gefährlichstes Malware-Botnet. Es war nunmehr für fünf Monate stillgelegt und wurde erst kürzlich mit dem Verschicken von 250.000 E-Mails wieder reaktiviert, wie Sicherheitsforscher des US-amerikanischen Cybersecurity-Spezialisten Proofpoint bestätigten. Erstmals spürten es Sicherheitsexperten von Trend Micro im Jahre 2014 auf. Emotet haben Cyberkriminelle ursprünglich als Banking-Schadsoftware entwickelt.

Dessen Ziel war es, in fremde Computer einzudringen, um dort vertrauliche, private Daten auszuspähen. In darauf folgenden Programmversionen hat man weitere Schadsoftware hinzugefügt, wie Spamming-Funktionen und andere Banking-Trojaner. Die Schadsoftware verbreitet sich über Spam-Kampagnen wie ein Computerwurm und kann so wirkungsvoll weitere Computer infizieren. Wenn ein System infiziert ist, wird es Teil des Emotet-Botnet. Die Malware vermag herkömmliche Antivirenprodukte zu täuschen und so einer Erkennung durch gängige Virenschutzprogramme zu entgehen.

Gefälschte E-Mails im Namen von Bekannten

Seinen Ursprung für Neuinfektionen nimmt Emotet durch sogenanntes Outlook-Harvesting. Das heißt durch Erzeugen authentisch wirkender Spam-Mails anhand ausgelesener E-Mail-Inhalte und Kontaktdaten bereits betroffener Nutzer. Sobald Benutzer auf eine dieser mitgeschickten Dateien klicken oder die Funktion „Bearbeitung aktivieren“ wählen, lassen sich damit Makros (automatisierte Skripte) ausführen. Die automatisierten Skripte laden die Malware und verschiedene ihrer Komponenten aus dem Internet herunter. Die Malware-Komponenten (Nutzdaten) für ihre Spam-Kampagnen speichern die Kriminellen auf gehackten WordPress-Websites.

Emotet: Hacker ersetzte Malware durch Memes und GIFs

Wie ZDNet schreibt, sind die temporären Hosting-Standorte aber auch Emotets Achillesferse. Die „Emotet-Bande“ kontrolliert diese gehackten Websites über Web-Shells, eine Malware-Art, die auf gehackten Servern installiert ist, um Eindringlingen eine Server-Manipulation zu ermöglichen. Dazu verwenden die Cyberkriminellen Open-Source-Skripte und für alle Web-Shells dasselbe Kennwort, teilte Kevin Beaumont über Twitter mit. Falls jemand das Kennwort der Web-Shell erlangen sollte, riskieren sie eine Übernahme. Genau das ist einem Hacker am vergangenen Dienstag offenbar gelungen und er hat damit das Comeback von Emotet sabotiert. Darauf aufmerksam machte sowohl Cryptolaemus, einer Gruppe von White-Hat-Sicherheitsforschern, die Aktivitäten des Emotet-Botnetz verfolgen, als auch der Microsoft-Cyber-Sicherheitsforscher Kevin Beaumont. Joseph Roosen, ein Mitglied der Cryptolaemus-Forschergruppe, bezeichnete den Hacker als weißen Ritter.

Der unbekannte Eindringling ersetzte infolge Emotet-Nutzdaten auf einigen der gehackten WordPress-Sites durch Memes und mehrere beliebte, animierte GIFs.

https://twitter.com/GossiTheDog/status/1285920824134963202

Neuinfektionen durch Emotet vorerst gestoppt

Wenn nun die Opfer die bösartigen Office-Dateien öffnen, werden sie nicht infiziert, da die Malware nicht heruntergeladen und ausgeführt werden kann. Bei E-Mails mit Links wird beim Klicken eines Empfängers anstelle eines installierten schädlichen Dokuments stattdessen ein Meme angezeigt oder ein GIF geöffnet.

Dies ist im folgenden Video von BleepingComputer dargestellt:

Rückeroberung durch Cyberkriminelle eingeleitet

Nach Angaben von Kevin Beaumont sind mittlerweile rund ein Viertel aller täglichen Emotet-Nutzdaten durch GIFs ersetzt. Das dürfte den Cyberkriminellen ernsthafte Betriebsverluste verursachen. Joseph Roosen teilte BleepingComputer mit, dass Emotet die Spam-Aktivitäten aufgrund der Hacker-Aktionen bereits am Donnerstag in den Standby-Modus versetzten und wahrscheinlich einige Änderungen vornehmen werden, um deren Betrieb zu schützen.

Tarnkappe.info

1 Kommentar lesen
  Mehr zu dem Thema

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.