Ciscos Sicherheitssparte Talos hat in jüngster Zeit mehrere Malwarekampagnen mit dem Banking-Trojaner Emotet beobachtet, der seit Jahren immer wieder für umfangreiche Schadensfälle sorgt. Im Mittelpunkt stehen an E-Mails angehängte Microsoft -Word-Dateien, in denen bösartige Makros für den Download von Emotet eingebettet sind.
Die jüngste Variante kann zusätzlich ermitteln, ob die kompromittierte Domain, von der aus die bösartigen Mails versandt werden, bereits auf einer Sperrliste verzeichnet ist. Damit können Angreifer sicherstellen, dass mehr ausgesandte Nachrichten tatsächlich bei potentiellen Opfern ankommen und nicht in Spamfiltern hängen bleiben.
Wie schon bei früheren Angriffswellen setzen die Hintermänner Emotet ein, um modulare Schadsoftware auszuliefern. Neben Banking-Trojanern können das auch andere Bedrohungen wie etwa Ransomware sein. Die Auswahl der Module erfolgt offenbar nach den jeweils besten Aussichten, mit den infizierten Systemen Geld zu verdienen. Emotet begann einst als reiner Banking-Trojaner, hat sich aber in den letzten Jahren immer weiter entwickelt und fiel in jüngerer Zeit durch zahlreiche gezielte Infektionen mit Ryuk-Ransomware auf.
Emotet erreicht die Opfer meist über angehängte Office -Dokumente mit Makros, aber auch URL-basierte Spam-Nachrichten können zu einer möglichen Infektion führen. Laut Cisco Talos verändern und entwickeln sich die Kampagnen täglich, und auch die unterstützende Infrastruktur ist einem ständigen Wandel unterworfen. Zu beobachten sei, dass Emotet manche Kommando- und Kontrollserver über längere Zeiträume immer wieder verwendet.
Emotet ist offenbar geschickt darin, die Betreffzeilen der versandten Mails immer wieder zu verändern, so dass selten eine große Anzahl von E-Mails mit einem identischen Betreff auffällt. Auch bei den zuletzt beobachten Kampagnen ging es vor allem um angebliche Rechnungen und anstehende Paketlieferungen. Die versandten E-Mails sind außerdem in verschiedenen Sprachen einschließlich Deutsch verfasst. Eine zweite Kampagnenversion setzt auf direkten URL-Download anstelle angehängter Office-Dokumente mit Makros, um die Malware ans Ziel zu bringen. Das Hosting der Malware erfolgt überwiegend auf zuvor kompromittierten Websites.
Cisco Talos erwartet eine weitere Zunahme modularer Malware-Familien wie Emotet, die unterschiedliche Schadsoftware ausliefern und die Gewinnaussichten der Hintermänner maximieren. „Wie die kürzlich eingeführte Überprüfung auf Sperrlisten durch das Spam-Modul zeigt, sucht Emotet die finanziellen Vorteile unter allen Umständen zu maximieren und gleichzeitig Varianten weniger einzusetzen, die einen geringeren Ertrag versprechen“, kommentieren die Sicherheitsforscher. „Solche Veränderungen sind es, die Emotet am oberen Ende der Crimeware-Landschaft halten.“
Schon im letzten Monat warnte die Deutsche Telekom ihre Kunden vor massenhaft versandten Phishing-Mails einer so genannten „Emotet-Gang“ von Cyberkriminellen. An die Mails waren gefälschte Rechnungen als Word-Dateien angehängt, die Makros enthielten. Ließen Empfänger deren Ausführung zu, mussten sie mit der Installation von Malware rechnen. Schadsoftware konnte sich auch einhandeln, wer auf in einem angehängten PDF-Dokument enthaltene Links klickte.
Die Telekom empfahl die sofortige Löschung verdächtiger Mails, ohne auf Links innerhalb einer solchen Nachricht zu klicken. Während sie im Fall einer bereits erfolgten Infektion die Säuberung mit einer Software wie EU-Cleaner empfahl, geht das BSI für Bürger in einer aktuellen Information zur Schadsoftware Emotet weiter und rät, einen infizierten Rechner neu aufzusetzen. Bereinigungsversuche bleiben laut BSI in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.
Darüber hinaus meldet das BSI (Bundesamt für Sicherheit in der Informationstechnik), dass Emotet ganze Unternehmensnetzwerke lahmlegt. Es gelte als eine der weltweiten gefährlichsten Malware-Bedrohungen und sorge auch in Deutschland für hohe Schadensfälle, indem es weitere Schadprogramme nachlädt. An Unternehmen und Institutionen richten sich die empfohlenen Maßnahmen zum Schutz vor Emotet , die das BSI im Rahmen der Allianz für Cyber-Sicherheit ausspricht.