Emotet ist zurück

Diese täuschend echte Tarnung nutzen Cyberkriminelle diesmal, um Schaden auf die Unternehmens-IT auszuüben.

Einem Bericht von inside-it.ch zufolge ist seit dem Sommer ein deutlicher Anstieg Cyberkrimineller zu beobachten, welche mit Emotet-Phishing-Mails vorgehen. 

Emotet – Wie alles began

Emotet basiert auf einer Weiterentwicklung des Online-Banking-Trojaners Cridex. Geprägt wurde die Bezeichnung „Emotet“ heise.de zufolge erstmals durch den IT-Dienstleister Trend Micro.

Auch die erste Version wurde bereits über E-Mail-Kampagnen verbreitet. Die E-Mail beinhalteten beispielsweise falsche Rechnungen oder angebliche Bankmitteilungen. 

Gefährliche Anhänge

Alle Mails beinhalteten entweder einen Anhang oder alternativ einen Link, über den vermeintlich die entsprechende Rechnung heruntergeladen werden konnte. 

Über doppelte Dateiendungen bei beispielsweise „.pdf.exe“ sollte dann verschleiert werden, dass es sich beim Anhang nicht um ein schlichtes Dokument sondern um eine ausführbare Anwendung handelte. 

Online-Banking wurde ausgespäht

Einmal installiert wurden von der Schadsoftware dann sogenannte „Man-in-the-Browser“-Angriff auf das Online-Banking durchgeführt, im Rahmen welcher sich die Software in den Browser einklinkte und eingegebenen Online-Banking-Anmeldedaten ausspähte.

Zu Zugangsdaten zu E-Mail konnten wurden ausgespäht, sodass das Programm über die Accounts der Opfer weitere Spam-Mails verschicken konnte. 

Schadsoftware tarnt sich als Word-Update

Doch wie es auch bei jeder anderen Software der Fall ist arbeiten die Entwickler des Trojaners fortlaufend and deren Optimierung. 

Nach wie vor wird Emotet über E-Mails verbreitet. Diese geben vor, wichtige Informationen zu aktuellen Bestellungen oder sogar Covid-19 zu enthalten, wie winfuture.de berichtet. 

Tarnung als Word-Datei

Die gefährliche Software befindet sich nach wie vor entweder im Anhang der E-Mail; diesmal allerdings in Form eines Word-Dokumentes im Dateiformat „.doc“; oder ist über einen in der E-Mail selbst enthaltenen Link zugänglich. 

Der bloße Download verursacht noch keinen Schaden; Obgleich selbstverständlich in jedem Fall vom Öffnen eines E-Mail-Anhangs unbekannten Absenders abzuraten ist.

Dadurch können die in der Datei enthaltenen und für die Installation der eigentlichen Schadsoftwareverantwortlichen Makros noch nicht installiert werden.

Die Installation wird allerdings angestoßen, sobald Opfer auf einen bestimmten Button zur Ausführung klicken. 

Ausführung verursacht Schaden

Um diese dazu zu bewegen, arbeiten die Entwickler mit einem gefährlichen Trick: Im Dokument wird ein Benachrichtigungsfenster von Microsoft-Word simuliert, welches Anwender zu dessen Aktualisierung auffordert.  

Ohne ein Upgrade bestimmter Funktionen ließe sich das Dokument vermeintlich nicht anzeigen. 

Fallen Opfer auf diesen gewieften Trick herein, kann der Trojaner weitere Schadsoftware installieren. So kann Ransomware wie QBot oder TrickBot installiert werden, Nutzerdaten können abgegriffen werden und auch eine weitere Verbreitung des Trojaners – in manchen Fällen sogar automatisiert über das gesamte lokale Netzwerk – sind möglich.