
Emotet ist zurück
Diese täuschend echte Tarnung nutzen Cyberkriminelle diesmal, um Schaden auf die Unternehmens-IT auszuüben.
Einem Bericht von inside-it.ch zufolge ist seit dem Sommer ein deutlicher Anstieg Cyberkrimineller zu beobachten, welche mit Emotet-Phishing-Mails vorgehen.
Emotet – Wie alles began
Emotet basiert auf einer Weiterentwicklung des Online-Banking-Trojaners Cridex. Geprägt wurde die Bezeichnung „Emotet“ heise.de zufolge erstmals durch den IT-Dienstleister Trend Micro.
Auch die erste Version wurde bereits über E-Mail-Kampagnen verbreitet. Die E-Mail beinhalteten beispielsweise falsche Rechnungen oder angebliche Bankmitteilungen.
Gefährliche Anhänge
Alle Mails beinhalteten entweder einen Anhang oder alternativ einen Link, über den vermeintlich die entsprechende Rechnung heruntergeladen werden konnte.
Über doppelte Dateiendungen bei beispielsweise „.pdf.exe“ sollte dann verschleiert werden, dass es sich beim Anhang nicht um ein schlichtes Dokument sondern um eine ausführbare Anwendung handelte.
Online-Banking wurde ausgespäht
Einmal installiert wurden von der Schadsoftware dann sogenannte „Man-in-the-Browser“-Angriff auf das Online-Banking durchgeführt, im Rahmen welcher sich die Software in den Browser einklinkte und eingegebenen Online-Banking-Anmeldedaten ausspähte.
Zu Zugangsdaten zu E-Mail konnten wurden ausgespäht, sodass das Programm über die Accounts der Opfer weitere Spam-Mails verschicken konnte.
Schadsoftware tarnt sich als Word-Update
Doch wie es auch bei jeder anderen Software der Fall ist arbeiten die Entwickler des Trojaners fortlaufend and deren Optimierung.
Nach wie vor wird Emotet über E-Mails verbreitet. Diese geben vor, wichtige Informationen zu aktuellen Bestellungen oder sogar Covid-19 zu enthalten, wie winfuture.de berichtet.
Tarnung als Word-Datei
Die gefährliche Software befindet sich nach wie vor entweder im Anhang der E-Mail; diesmal allerdings in Form eines Word-Dokumentes im Dateiformat „.doc“; oder ist über einen in der E-Mail selbst enthaltenen Link zugänglich.
Der bloße Download verursacht noch keinen Schaden; Obgleich selbstverständlich in jedem Fall vom Öffnen eines E-Mail-Anhangs unbekannten Absenders abzuraten ist.
Dadurch können die in der Datei enthaltenen und für die Installation der eigentlichen Schadsoftwareverantwortlichen Makros noch nicht installiert werden.
Die Installation wird allerdings angestoßen, sobald Opfer auf einen bestimmten Button zur Ausführung klicken.
Ausführung verursacht Schaden
Um diese dazu zu bewegen, arbeiten die Entwickler mit einem gefährlichen Trick: Im Dokument wird ein Benachrichtigungsfenster von Microsoft-Word simuliert, welches Anwender zu dessen Aktualisierung auffordert.
Ohne ein Upgrade bestimmter Funktionen ließe sich das Dokument vermeintlich nicht anzeigen.
Fallen Opfer auf diesen gewieften Trick herein, kann der Trojaner weitere Schadsoftware installieren. So kann Ransomware wie QBot oder TrickBot installiert werden, Nutzerdaten können abgegriffen werden und auch eine weitere Verbreitung des Trojaners – in manchen Fällen sogar automatisiert über das gesamte lokale Netzwerk – sind möglich.
29 Oktober 2020
Starten Sie Ihre ERP-Auswahl
Finden Sie das richtige ERP-System für Ihr Unternehmen
Appell zur Cloud-ERP
Kleine und mittelständische Unternehmen sollen endlich loslegen und Ihre ERP-Software aus der Cloud beziehen.
Lesen Sie weiterDigitalisierung für das Rechnungswesen
crossinx unterstützt zusammen mit deren Partnern KMU aus der Bau- und Immobilienbranche bei der Digitalisierung Ihrer Finanz- und Rechnungsprozesse.
Lesen Sie weiterPersonalveränderungen bei der 3U HOLDING AG
Die 3U HOLDING AG kündigt grundlegende Personalveränderungen in einer gemeinsamen Pressemittelung mit welcapp SE an.
Lesen Sie weiter