Die Infrastruktur des Botnet Emotet wird aktuell von einem unbekannten Hacker kompromittiert und dabei deren kriminelle Aktivitäten gestört.
Sicherheitsforscher stellten fest, dass die Infrastruktur des Malware Delivery Botnet Emotet von einem unbekannten Hacker kompromittiert wird und dabei die kriminellen Aktivitäten stört, berichtet ZDNet.
Emotet: größte Bedrohung durch Schadsoftware weltweit
Emotet gilt aktuell als gefährlichstes Malware-Botnet. Es war nunmehr für fünf Monate stillgelegt und wurde erst kürzlich mit dem Verschicken von 250.000 E-Mails wieder reaktiviert, wie Sicherheitsforscher des US-amerikanischen Cybersecurity-Spezialisten Proofpoint bestätigten. Erstmals spürten es Sicherheitsexperten von Trend Micro im Jahre 2014 auf. Emotet haben Cyberkriminelle ursprünglich als Banking-Schadsoftware entwickelt.
Dessen Ziel war es, in fremde Computer einzudringen, um dort vertrauliche, private Daten auszuspähen. In darauf folgenden Programmversionen hat man weitere Schadsoftware hinzugefügt, wie Spamming-Funktionen und andere Banking-Trojaner. Die Schadsoftware verbreitet sich über Spam-Kampagnen wie ein Computerwurm und kann so wirkungsvoll weitere Computer infizieren. Wenn ein System infiziert ist, wird es Teil des Emotet-Botnet. Die Malware vermag herkömmliche Antivirenprodukte zu täuschen und so einer Erkennung durch gängige Virenschutzprogramme zu entgehen.
Gefälschte E-Mails im Namen von Bekannten
Seinen Ursprung für Neuinfektionen nimmt Emotet durch sogenanntes „Outlook-Harvesting“. Das heißt durch Erzeugen authentisch wirkender Spam-Mails anhand ausgelesener E-Mail-Inhalte und Kontaktdaten bereits betroffener Nutzer. Sobald Benutzer auf eine dieser mitgeschickten Dateien klicken oder die Funktion „Bearbeitung aktivieren“ wählen, lassen sich damit Makros (automatisierte Skripte) ausführen. Die automatisierten Skripte laden die Malware und verschiedene ihrer Komponenten aus dem Internet herunter. Die Malware-Komponenten (Nutzdaten) für ihre Spam-Kampagnen speichern die Kriminellen auf gehackten WordPress-Websites.
Emotet: Hacker ersetzte Malware durch Memes und GIFs
Wie ZDNet schreibt, sind die temporären Hosting-Standorte aber auch Emotets Achillesferse. Die „Emotet-Bande“ kontrolliert diese gehackten Websites über Web-Shells, eine Malware-Art, die auf gehackten Servern installiert ist, um Eindringlingen eine Server-Manipulation zu ermöglichen. Dazu verwenden die Cyberkriminellen Open-Source-Skripte und für alle Web-Shells dasselbe Kennwort, teilte Kevin Beaumont über Twitter mit. Falls jemand das Kennwort der Web-Shell erlangen sollte, riskieren sie eine Übernahme. Genau das ist einem Hacker am vergangenen Dienstag offenbar gelungen und er hat damit das Comeback von Emotet sabotiert. Darauf aufmerksam machte sowohl Cryptolaemus, einer Gruppe von White-Hat-Sicherheitsforschern, die Aktivitäten des Emotet-Botnetz verfolgen, als auch der Microsoft-Cyber-Sicherheitsforscher Kevin Beaumont. Joseph Roosen, ein Mitglied der Cryptolaemus-Forschergruppe, bezeichnete den Hacker als „weißen Ritter“.
Der unbekannte Eindringling ersetzte infolge Emotet-Nutzdaten auf einigen der gehackten WordPress-Sites durch Memes und mehrere beliebte, animierte GIFs.
https://twitter.com/GossiTheDog/status/1285920824134963202
#Emotet の跡地でこのおじさんに遭遇する機会が増えました。 pic.twitter.com/pozYFpPoiv
— tike (@tiketiketikeke) July 22, 2020
国内の #Emotet 設置サイトの傾向に変化はありません。
choiphui[.]com
133.130.109.0
(PTR: v133-130-109-0[.]a038[.]g[.]tyo1[.]static[.]cnode[.]io.)linhgiangcorp[.]com
133.130.97.61
(PTR: v133-130-97-61[.]a026[.]g[.]tyo1[.]static[.]cnode[.io.)HACKERMAN のgifに置き換わっています。 pic.twitter.com/efxnbfaGfc
— tike (@tiketiketikeke) July 24, 2020
Neuinfektionen durch Emotet vorerst gestoppt
Wenn nun die Opfer die bösartigen Office-Dateien öffnen, werden sie nicht infiziert, da die Malware nicht heruntergeladen und ausgeführt werden kann. Bei E-Mails mit Links wird beim Klicken eines Empfängers anstelle eines installierten schädlichen Dokuments stattdessen ein Meme angezeigt oder ein GIF geöffnet.
Dies ist im folgenden Video von BleepingComputer dargestellt:
Rückeroberung durch Cyberkriminelle eingeleitet
Nach Angaben von Kevin Beaumont sind mittlerweile rund ein Viertel aller täglichen Emotet-Nutzdaten durch GIFs ersetzt. Das dürfte den Cyberkriminellen ernsthafte Betriebsverluste verursachen. Joseph Roosen teilte BleepingComputer mit, dass Emotet die Spam-Aktivitäten aufgrund der Hacker-Aktionen bereits am Donnerstag in den Standby-Modus versetzten und wahrscheinlich einige Änderungen vornehmen werden, um deren Betrieb zu schützen.
Tarnkappe.info