Die Malware Emotet ist mit neuen Tricks im Umlauf. Darüber berichtet Heise online im Dezember 2019. Die Betrüger versenden sogenannte Dynamit-Phishing-Mails und umgehen damit auch gut eingerichtete Spam-Filter.
Wie funktioniert Emotet-Malware?
Die Malware lädt nach dem Infizieren eines Rechners weitere Schädlinge nach, die wichtige Daten des Zielrechners verschlüsseln. Dann folgt eine Lösegeldforderung – oft im sechsstelligen Bereich. Betroffen waren schon viele Unternehmen, Behörden wie das Berliner Kammergericht und auch Heise selbst. Dynamit-Phishing-Mails fallen in den Bereich des Social Engineerings: Die Opfer öffnen den Anhang mit der Malware, weil die Täuschung so geschickt gemacht ist. Wenn die Malware erst einmal im Firmennetzwerk ist, nutzt sie die intern oft schwachen Sicherheitsvorkehrungen zur weiteren Ausbreitung – manchmal infiziert sie Windows-Netze mit mehreren Tausend Rechnern. Heise hat den Vorfall im eigenen Haus detailliert in einem Webinar geschildert, das auch ein gestaffeltes Schutzkonzept enthält.
Malware-Cocktail: Emotet, Trickbot und Ryuk
Emotet kommt nicht allein. Trickbot ist immer mit dabei, Ryuk in besonderen Fällen – beide werden vom Emotet-Programm nachgeladen. Die explosive Mischung kann Schäden im vielstelligen Millionenbereich anrichten, je nach Grösse des betroffenen Unternehmens. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnte mehrfach vor Emotet; das US-CERT nahm es in die Top 5 der zerstörerischsten und kostenträchtigsten Schadprogramme auf. Es verursachte in Wirtschaftsunternehmen, Krankenhäusern, kommunalen Verwaltungen und weiteren Organisationen teilweise Komplettausfälle der IT-Infrastruktur, die erst nach Tagen oder Wochen behoben werden konnten. Auch Privatnutzer sind betroffen – bei ihnen werden bevorzugt Zugangsdaten zum Online-Banking ausgespäht.
Der Banking-Trojaner – so ist Emotet klassifiziert – basiert auf seinem Vorgänger Cridex und wurde 2014 erstmals vom IT-Sicherheitsdienstleister Trend Micro identifiziert, der ihm auch seinen Namen gab. Die Erstverbreitung erfolgte über Spam-Kampagnen mit gefälschten Rechnungen oder angeblichen Mitteilungen der Bank des Nutzers. Diese Variante war Stand Januar 2020 immer noch verbreitet. Die Schadsoftware kam als Anhang (oft in einem ZIP-Archiv) oder per Link in der Spam-Mail – mit angeblich äusserst relevanten Informationen. Die Verschleierung des ausführbaren Malware-Programms lief über Dateiendungen wie «pdf.exe».
Man-in-the-Browser-Angriffe
Das Ausspähen des Online-Bankings kann über einen sogenannten Man-in-the-Browser-Angriff erfolgen. Das Schadprogramm klinkt sich in den Browser ein und liest Anmeldedaten für Online-Banking – oder andere Webseiten – mit. Im Fokus standen von Anfang an Kunden von deutschen und österreichischen Banken mit .de- und .at-Endungen ihrer E-Mail-Adressen. Die Zugangsdaten für E-Mail-Konten wurden ausgespäht, um von infizierten Rechnern weitere Spam-Mails an neue Opfer zu versenden (Bot-Netz). Dafür nutzen Emotet-Versionen bis heute das Tool Mail PassView, das die Passwort-Recovery ermöglicht. Es wird als Kopie mitgeschickt und extrahiert Zugangsdaten aus Windows Mail, Microsoft Outlook und Mozilla Thunderbird.
Zweite Emotet-Generation
Die zweite Generation war modular aufgebaut. Die Erstinfektion installierte eine Kernkomponente, die dann Module für die eigentlichen Schadfunktionen nachlud:
- Online-Banking
- E-Mail-Client
- Webbrowser
- Outlook-Adressbücher
- Spam-Versand
- Durchführung von DDoS-Angriffen
Das Banking-Modul nutzte in der zweiten Generation (ab 2014) Web-Injects: Dynamisch eingefügte TAN-Abfragefelder im Browser des infizierten Rechners – bei gleichzeitiger Unterdrückung von Sicherheitswarnungen der Bank. Wer eine TAN eingab, dessen Konto wurde abgeräumt. Diese Version soll nicht mehr im Umlauf sein.
Die dritte Emotet-Version folgte ab Anfang 2015 und zielte nun auch auf Kunden von Schweizer Banken. Ausserdem wurde die Schadsoftware gegen Analyse und Detektion aufgerüstet. Die vierte Generation heisst Heodo, wurde ab März 2017 gesichtet und war Stand Januar 2020 immer noch unterwegs – inzwischen weltweit.
Aktuelle Emotet-Version
Die aktuellen Emotet-Spams enthalten keine ausführbaren Dateien mehr, sondern entweder einen Dateianhang mit einem MS-Office-Dokument oder einen Link zum Herunterladen. Manchmal ist der Anhang auch ein PDF mit dem Download-Link. Das Schadprogramm infiziert das Opfersystem über Makros in den Dokumenten – diese laden die Schadsoftware nach und führen sie aus.
Das frühere Banking-Modul gibt es nicht mehr. Stattdessen haben die Emotet-Entwickler Kooperationen mit anderen Tätergruppen abgeschlossen, die weitere Banking-Trojaner liefern. Welche das sind, richtet sich nach Kampagne und Region des Opfers. Bekannt sind unter anderem:
- Trickbot
- IcedID
- Panda ZeuS
- Ursnif
Seit September 2017 existiert zudem ein neues Spreader-Modul, das Emotet in lokalen Netzwerken effektiver verbreitet. Es kopiert die Schadsoftware über administrative Netzwerkfreigaben in andere Systeme. Eine mitgelieferte Kopie des Tools Netpass von Nirsoft liest das Passwort des jeweils angemeldeten Benutzers aus – der wird dann als Administrator klassifiziert und schaltet das Netzwerk für die Schadsoftware frei. Lässt sich das Passwort nicht ohne Weiteres auslesen, probiert das Schadprogramm 10.000 mitgelieferte Passwörter durch.
Gefahr für die Kontakte des infizierten Nutzers
In der jüngsten Emotet-Version steckt ein erweitertes Outlook Harvesting. Es späht nicht nur Adressen aus dem Adressbuch aus, sondern auch konkrete Kontaktbeziehungen: Familie, Geschäftspartner, Kollegen, Freunde, Vereinsmitglieder. Das erlaubt den Kriminellen, diesen Personen eine Mail mit einem bekannten Absender und vertrauenerweckendem Betreff zu schicken. Eine gefährliche Täuschung – auch wer misstrauisch ist, öffnet bedenkenlos eine Mail von jemandem, den er kennt. Enthält diese Mail einen Link zu einer scheinbar interessanten Nachricht oder eine weitergeleitete Rechnung, wird auch die angeklickt.
Schon diese Variante erhöhte das Risiko für Betroffene erheblich. Aber ab Oktober 2018 griff das Harvesting-Modul zusätzlich Inhalte gespeicherter Mails ab – jeweils die ersten 16 KB. Die meisten Mailprogramme speichern ältere Mails mindestens 180 Tage lang; für diese Zeitspanne schlägt die Schadsoftware zu. Mit echten Mail-Inhalten von Dienstleistern – Telekommunikationsanbietern, Paket-Dienstleistern, Hotels, Banken, Versandhändlern, Software-Herstellern – lassen sich Nachrichten konstruieren, die absolut vertrauenswürdig wirken.
Neue Stufe des Social Engineerings
Seit dem Frühjahr 2019 tarnen die Emotet-Kriminellen ihre Spam-Mails als Antworten auf tatsächliche E-Mails des Opfers, die sie zuvor ausgespäht haben. Bekannte Betreffzeilen tauchen auf, der vorherige E-Mail-Verkehr wird zitiert. Heise nennt diese Methode «Dynamit Phishing» – der Name ist nicht übertrieben. Die Mails wirken wie von einem Kollegen, einem Freund oder der eigenen Mutter, sie kommen in fehlerfreiem Deutsch.
Schutz vor Dynamit Phishing
Heise sagt: Schutz ist möglich. Der erste Schritt ist Misstrauen gegenüber ungewöhnlichen Aufforderungen in Mails. Wenn der Telekommunikationsdienstleister plötzlich verlangt, du sollst dein Passwort ändern, um «eine wichtige Information zum Vertrag» zu erhalten – ruf dort an. Wenn die eigene Mutter eine Mail mit ungewöhnlichem Inhalt schickt, frag nach, bevor du klickst.
Firmen werden mit Mails bombardiert, in denen die Empfänger angebliche Rechnungen im .doc-Format öffnen und dann ein Makro ausführen sollen. Das ist ein klares Warnsignal. Bei solchen Mails gilt: beim vermeintlichen Absender nachfragen. Das Makro darf auf keinen Fall geöffnet werden – es ist das Einfallstor für die Schadsoftware.
Firmen müssen ihre Mitarbeiter dringend zu den Emotet-Gefahren schulen. Die Kriminellen rüsten aktuell massiv auf.