Die Windows-Malware Emotet wird über eine neue Angriffswelle mit E-Mails verbreitet, die angeblich von Microsoft kommen und über Änderungen eines Servicevertrags informieren. Vor den in großem Umfang versandten Phishing-Mails warnt das CERT-Bund (Computer Emergency Response Team der Bundesverwaltung), das im BSI angesiedelt ist: „NICHT die Links in der E-Mail anklicken!“
Im Gegensatz zu vielen anderen Phishing-Kampagnen wirken Gestaltung und Text der gefälschten Mails glaubwürdig. Sie sind nicht in Radebrech-Deutsch gehalten, ihre Rechtschreibung ist stimmig. Sie bedienen sich einfach bei den Floskeln und juristischen Formulierungen echter Aussendungen, um zu unüberlegten Klicks zu verleiten. In Onlineforen fragen sich verunsicherte Nutzer nicht ohne Grund immer wieder, ob solche eingegangenen E-Mails echt sind oder nicht.
„Der Servicevertrag ist jetzt übersichtlicher gestaltet“, heißt es in den gefälschten Mails. Sie erreichen die Empfänger angeblich aufgrund von Änderungen am Microsoft-Servicevertrag, der für von ihnen genutzte Produkte gelte. „Die Nutzung unserer Heimanwenderprodukte und -dienste (einschließlich Käufen) ab dem 13. Februar 2019 gilt als Zustimmung ihrerseits zum aktualisierten Microsoft-Servicevertrag“, erklärt die Aussendung dann. „Wenn Sie den Bestimmungen nicht zustimmen, können Sie die Produkte und Dienste nicht mehr nutzen und sollten Ihr Microsoft-Konto schließen, bevor die Bestimmungen in Kraft treten.“
Die enthaltenen Links führen angeblich zu einem vollständigen neuen Microsoft-Servicevertrag und einem Formular zur Schließung des Microsoft-Kontos. Der Text spricht auch noch ausdrücklich Elternteile oder sonstige Erziehungsberechtigte an, da sie für die Nutzung von Microsofts Produkten und Diensten durch ihre Kinder oder Teenager verantwortlich seien. „Vielen Dank, dass Sie Produkte und Dienste von Microsoft nutzen“, schließt die Phishing-Mail.
Emotet wird immer wieder verwendet
Eine ähnliche Emotet-Angriffswelle zielte im Dezember auf Kunden der Deutschen Telekom . An die Mails waren gefälschte Rechnungen als Word-Dateien angehängt, die Makros enthielten. Ließen Empfänger deren Ausführung zu, mussten sie mit der Installation von Malware rechnen. Schadsoftware konnte sich auch einhandeln, wer auf in einem angehängten PDF-Dokument enthaltene Links klickte.
Die Telekom empfahl die sofortige Löschung verdächtiger Mails, ohne auf Links innerhalb einer solchen Nachricht zu klicken. Während sie im Fall einer bereits erfolgten Infektion die Säuberung mit einer Software wie EU-Cleaner empfahl, ging das BSI für Bürger in einer aktuellen Information zur Schadsoftware Emotet weiter und riet, einen infizierten Rechner neu aufzusetzen. Bereinigungsversuche bleiben laut BSI in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben. Darüber hinaus meldete das BSI (Bundesamt für Sicherheit in der Informationstechnik), dass Emotet ganze Unternehmensnetzwerke lahmlegt. An Unternehmen und Institutionen richten sich die empfohlenen Maßnahmen zum Schutz vor Emotet , die das BSI im Rahmen der Allianz für Cyber-Sicherheit aussprach.
Im Januar berichtete Ciscos Sicherheitssparte Talos von mehreren aktuellen Malwarekampagnen, in deren Mittelpunkt an E-Mails angehängte Microsoft-Word-Dateien stehen, in denen bösartige Makros für den Download von Emotet eingebettet sind. Laut Talos setzen die Hintermänner Emotet inzwischen ein, um modulare Schadsoftware auszuliefern. Neben Banking-Trojanern können das auch andere Bedrohungen wie etwa Ransomware sein. Die Auswahl der Module erfolgt offenbar nach den jeweils besten Aussichten, mit den infizierten Systemen Geld zu verdienen. Emotet begann einst als reiner Banking-Trojaner, hat sich aber in den letzten Jahren immer weiter entwickelt und fiel in jüngerer Zeit durch zahlreiche gezielte Infektionen mit Ryuk-Ransomware auf.
Report: State of Digital Transformation EMEA 2019