Emotet is back: weihnachtliche Rückkehr mit neuen Taktiken

Nach einer zweimonatigen Pause hat die Emotet-Group ihre Geschäftstätigkeit wieder aufgenommen und tritt vor Jahresende neu in Erscheinung.

Emotet
Bildquelle: Elchinator, thx!

Nach einer Pause von ca. zwei Monaten ist das Emotet-Botnetz mit aktualisierten Nutzdaten zurückgekehrt. Wie die Sicherheitsforscher von Cofense berichten, sollen die Änderungen Emotet „wahrscheinlich dabei helfen, die Entdeckung durch Opfer und Netzwerkverteidiger zu vermeiden. Abgesehen von diesen Aktualisierungen bleiben das Targeting, die Taktik und die sekundären Nutzdaten der Kampagnen mit den vorherigen aktiven Perioden konsistent.“

Die Emotet-Group ist dafür bekannt, dass sie ihre Operationen regelmäßig unterbrechen. So pausieren die manchmal für einige Wochen oder sogar für einige Monate. Fraglich ist, wozu die Abschaltungen dienen. Die Forscher mutmaßen, es könnte eine Chance für die Betreiber sein, ihre Infrastruktur und Malware umzurüsten und zu aktualisieren. Wenn der Vorgang dann neu startet, kommen häufig neue Köder, Taktiken und andere Funktionen zur Anwendung.

Windows Error Reporting

Lesen Sie auch

Emotet gilt als größte Bedrohung durch Schadsoftware weltweit

Emotet gilt als gefährlichstes Malware-Botnet. Erstmals spürten es Sicherheitsexperten von Trend Micro im Jahre 2014 auf. Emotet haben Cyberkriminelle ursprünglich als Banking-Schadsoftware entwickelt. Dessen Ziel war es, in fremde Computer einzudringen, um dort vertrauliche, private Daten auszuspähen. In darauf folgenden Programmversionen hat man weitere Schadsoftware hinzugefügt, wie Spamming-Funktionen und andere Banking-Trojaner. Die Schadsoftware verbreitet sich über Spam-Kampagnen wie ein Computerwurm und kann so wirkungsvoll weitere Computer infizieren. Wenn ein System infiziert ist, wird es Teil des Emotet-Botnet. Die Malware vermag herkömmliche Antivirenprodukte zu täuschen und so einer Erkennung durch gängige Virenschutzprogramme zu entgehen.

Die Infrastruktur des Botnet Emotet wurde im Juli 2020 von einem unbekannten Hacker kompromittiert und dabei deren kriminellen Aktivitäten gestört. Aktuell bestätigen jedoch zudem auch die Sicherheitsforscher des US-amerikanischen Cybersecurity-Spezialisten Proofpoint via Twitter die Rückkehr von Emotet. Sie weisen auf über 100.000 neue Spam-E-Mails, unter anderem in den Sprachen Englisch, Deutsch, Spanisch und Italienisch, hin, alle mit einem gefährlichen Köder im Gepäck. Seinen Ursprung für Neuinfektionen nimmt Emotet durch sogenanntes „Outlook-Harvesting“. Das heißt durch Erzeugen authentisch wirkender Spam-Mails anhand ausgelesener E-Mail-Inhalte und Kontaktdaten bereits betroffener Nutzer. Sobald Benutzer auf eine dieser mitgeschickten Dateien klicken oder die Funktion „Bearbeitung aktivieren“ wählen, lassen sich damit Makros (automatisierte Skripte) ausführen. Die automatisierten Skripte laden die Malware und verschiedene ihrer Komponenten aus dem Internet herunter. Die Malware-Komponenten (Nutzdaten) für ihre Spam-Kampagnen speichern die Kriminellen auf gehackten WordPress-Websites.

Neue Kampagne mit trügerischer Ausrichtung

Die jüngste Emotet-Kampagne läuft langsam, aber stetig an. Die Malwarebytes-Forscher stellten demgemäß fest, dass die Bedrohungsakteure zwischen verschiedenen Phishing-Ködern wechseln, um über Social-Engineering Benutzer dazu zu bewegen, Makros zu aktivieren. Dazu beinhalten die E-Mails sowohl Rechnungen, Zahlungsanweisungen, Weihnachtsgeschenkkarten, als auch COVID-19-Themen.

Brad Haas vom Cofense-Team stellte fest, dass dies eine neue Entwicklung für die Emotet-Bande darstellt. Zudem beobachteten die Forscher, wie die Group ihre Nutzlast mit einer gefälschten Fehlermeldung lädt.

„Die neue Emotet-Maledoc enthält eine spürbare Änderung, die die Opfer wahrscheinlich davon abhalten soll, zu bemerken, dass man sie gerade infiziert. Das Dokument enthält weiterhin schädlichen Makrocode zur Installation von Emotet und behauptet weiterhin, ein geschütztes Dokument zu sein, bei dem Benutzer Makros aktivieren müssen, um es zu öffnen. Die alte Version würde nach dem Aktivieren von Makros keine sichtbare Antwort geben, was dem Opfer verdächtig sein könnte. Die neue Version erstellt ein Dialogfeld mit der Meldung, dass beim Öffnen der Datei in Word ein Fehler aufgetreten ist. Dies gibt dem Benutzer eine Erklärung, warum er den erwarteten Inhalt nicht sieht. Es erhöht die Wahrscheinlichkeit, dass er den gesamten Vorfall ignoriert, während Emotet im Hintergrund ausgeführt wird.“

Bild stammt von Cofense

Tarnkappe.info

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.