Malware Emotet: Infektionen nehmen zu

  • in der Kategorie Security
  • veröffentlicht.
maleware data protection

Die Malware Emotet ist mit neuen Tricks im Umlauf. Darüber berichtet Heise online im Dezember 2019. Die Betrüger versenden sogenannte Dynamit-Phishing-Mails und umgehen damit auch gut eingerichtete Spam-Filter.

Wie funktioniert Emotet-Malware?

Die Malware lädt nach dem Infizieren eines Rechners weitere Schädlinge nach, welche wichtige Daten des Zielrechners verschlüsseln. Dann folgt eine Lösegeldforderungen – oft im sechsstelligen Bereich. Betroffen waren schon viele Unternehmen, Behörden wie beispielsweise das Berliner Kammergericht und auch Heise selbst. Dynamit-Phishing-Mails fallen in den Bereich des Social Engineerings, die Opfer öffnen aufgrund einer sehr geschickten Täuschung freiwillig den Anhang mit der Malware. Wenn diese erst einmal in das Firmennetzwerk eingedrungen ist, nutzt sie die intern oft schwachen Sicherheitsvorkehrungen für die weitere Ausbreitung und infiziert manchmal Windows-Netze mit mehreren Tausend Rechnern. Heise hat den Vorfall im eigenen Haus detailliert in einem Webinar geschildert, das auch ein gestaffeltes Schutzkonzept enthält.

Malware-Cocktail: Emotet, Trickbot und Ryuk

Die Emotet-Malware kommt nicht allein, Trickbot und Ryuk sind mit an Bord – Trickbot immer, Ryuk in besonderen Fällen. Es sind durch das Emotet-Programm nachgeladene Schadprogramme. Die explosive Mischung der Schadsoftware kann Schäden im vielstelligen Millionenbereich anrichten – je nach Größe des betroffenen Unternehmens. Dementsprechend warnte das BSI (Bundesamt für Sicherheit in-der Informationstechnik) schon mehrfach vor Emotet, das durch das US-CERT in die Top 5 der zerstörerischsten und kostenträchtigsten Schadprogramme aufgenommen wurde. Es verursachte nicht nur in Wirtschaftsunternehmen, sondern auch in Krankenhäusern, kommunalen Verwaltungen und weiteren Organisationen teilweise Komplettausfälle der IT-Infrastruktur, die erst nach Tagen und Wochen behoben werden konnten. Natürlich sind auch Privatnutzer betroffen, von denen bevorzugt Zugangsdaten zu ihrem Online-Banking ausgespäht wurden. Der Banking-Trojaner – als solcher ist die Emotet-Malware klassifiziert – basiert auf seinem Vorgänger Cridex und wurde 2014 erstmals vom IT-Sicherheitsdienstleister Trend Micro identifiziert, der ihm auch seinen Namen verlieh. Die Erstverbreitung erfolgte über Spam-Kampagnen, deren Mails eine gefälschte Rechnung oder alternativ eine angebliche Mitteilung der Bank des Nutzers enthielten. Diese Variante ist wohl aktuell (Januar 2020) immer noch verbreitet. Die Schadsoftware wurde als Anhang (oft in einem ZIP-Archiv) oder per Link in der Spam-Mail verschickt. Der Anhang oder der Link sollten für den Nutzer äußerst relevante Informationen enthalten. Die Verschleierung des ausführbaren Malware-Programms wurde mit Dateiendungen wie „pdf.exe“ verschleiert.

Man-in-the-Browser-Angriffe

Das Ausspähen des Online-Bankings kann unter anderem über einen sogenannten Man-in-the-Brower-Angriff erfolgen. Das Schadprogramm klinkt sich in den Browser des Nutzers ein und kann nun Anmeldedaten für das Online-Banking (alternativ auch für andere Webseiten) ausspähen. Im Fokus standen von Anfang an Kunden von deutschen und österreichischen Banken mit .de- und .at-Endungen ihrer E-Mail-Adressen. Die Zugangsdaten für die E-Mail-Konten der Opfer wurden und werden auch ausgespäht, um von den infizierten Rechnern weitere Spam-Mails an neue Opfer zu versenden (Bot-Netz). Immer noch verwenden Emotet-Versionen dabei das Tool Mail PassView, das die Passwort-Recovery ermöglicht. Es wird als Kopie mitgeschickt und kann die Zugangsdaten in Windows Mail, Microsoft Outlook und Mozilla Thunderbird extrahieren.

Zweite Emotet-Generation

Die zweite Generation des Schadprogramms war modular aufgebaut. Die Erstinfektion installierte zunächst eine Kernkomponente, die dann Module für Schadfunktionen nachlud:

Das Banking-Modul nutzte in der zweiten Generation (schon ab 2014) Web-Injects, die während des Online-Bankings dynamisch zusätzliche TAN-Abfragefelder im Webbrowser des infizierten Rechners einfügen und gleichzeitig Sicherheitswarnungen der Bank unterdrücken. Wenn der Nutzer eine TAN eingab, wurde sein Konto abgeräumt. Diese Version soll es nicht mehr geben. Die dritte Emotet-Version folgte ab Anfang 2015 und zielte nun auch auf Kunden von Schweizer Banken. Außerdem wurde die Schadsoftware gegen Analyse und Detektion aufgerüstet. Die vierte Emotet-Generation heißt Heodo, sie wurde ab März 2017 gesichtet und ist aktuell (Januar 2020) immer noch unterwegs – inzwischen weltweit.

Aktuelle Emotet-Version

Die aktuellen Emotet-Spams enthalten keine ausführbaren Dateien mehr, sondern entweder einen Dateianhang mit einem MS-Office-Dokument oder einen Link, mit dem das Dokument heruntergeladen werden soll. Manchmal ist der Dateianhang auch ein PDF, das den Download-Link enthält. Das Schadprogramm selbst infiziert das Opfersystem mit Makros in den Dokumenten. Diese laden die Schadsoftware aus dem Internet nach und führen sie dann aus. Das frühere Banking-Modul gibt es nun nicht mehr. Stattdessen haben die Emotet-Entwickler nun Kooperationen mit anderen Tätergruppen abgeschlossen, von denen sie andere Banking-Trojaner nachladen. Deren Art kann sich nach der Kampagne und der Region des Opfers richten. Bekannt sind in diesem Zusammenhang unter anderem die folgenden Banking-Trojaner:

  • Trickbot
  • IcedID
  • Panda ZeuS
  • Ursnif

Schon seit September 2017 existiert zudem ein neues Spreader-Modul, welches die Emotet-Malware in lokalen Netzwerken besser verbreiten kann. Es kopiert die Schadsoftware in andere Systeme über administrative Netzwerkfreigaben. Eine mitgelieferte Kopie des Tools Netpass von Nirsoft liest das Passwort des jeweils angemeldeten Benutzers aus. Dieser wird fortan als Administrator klassifiziert und schaltet das Netzwerk für die Schadsoftware frei. Wenn das Passwort des Nutzers nicht ohne Weiteres auszulesen ist, probiert das Schadprogramm 10.000 mitgelieferte Passwörter aus.

Gefahr für die Kontakte des infizierten Nutzers

In der jüngsten Emotet-Version existiert ein erweitertes Outlook Harvesting (Anzapfen von Quellen). Es ist imstande, über die Adressen im Adressbuch hinaus auch konkrete Kontaktbeziehungen des Nutzers zu seinen Kontakten auszuspähen (Familie, Geschäftspartner, Kollege, Freund, Verein etc.). Das ermöglicht den Kriminellen, diesen Adressaten eine Mail mit einem ihnen bekannten Absender und vertrauenerweckendem Betreff zu senden. Diese Täuschung ist sehr gefährlich, denn wir alle – auch diejenigen unter uns, die sehr misstrauisch sind – öffnen in der Regel bedenkenlos jede Mail eines bekannten Absenders. Wenn diese Mail einen Link zu einer vermeintlich interessanten Nachricht oder – unter Kollegen und Geschäftspartner absolut üblich – eine scheinbar weitergeleitete Rechnung enthält, klicken wir auch diese an. Schon diese Emotet-Variante erhöhte die Gefahr für die Betroffenen beträchtlich, doch ab Oktober 2018 griff das Harvesting-Modul auch Informationen (jeweils die ersten 16 KB) der gespeicherten Mails im Postfach des Opfers ab. Die meisten Mailprogramme speichern mindestens 180 Tage lang ältere Mails, für diese Zeitspanne schlägt die Schadsoftware zu. Mit den Mail-Inhalten kann sie authentische Informationen von Dienstleistern nutzen, die im Geschäftsverkehr mit dem Opfer stehen. Es kann der Telekommunikationsanbieter, ein Paket-Dienstleister, ein Hotel, seine Bank, ein Versandhändler oder ein Software-Hersteller sein. Diese Infos wirken absolut vertrauenswürdig. Viele Menschen lassen sich dadurch täuschen.

Neue Stufe des Social Engineerings

Seit dem Frühjahr 2019 haben die Emotet-Kriminellen das Social Engineering wiederum auf eine neue Stufe gehoben. Sie tarnen ihre Spam-Mails als Antworten auf tatsächliche E-Mails des Opfers, die sie zuvor ausgespäht haben. Es tauchen bekannte Betreffzeilen auf, der vorherige E-Mail-Verkehr wird zitiert – praktisch jeder Mensch lässt sich davon täuschen. Die Experten von Heise nennen diese neue Stufe des Social Engineerings „Dynamit Phishing“. Es enthält in der Tat Sprengstoff. Die Mails wirken absolut echt wie von einem Kollegen, Freund oder der eigenen Mutter, sie kommen in fehlerfreiem Deutsch.

Schutz vor Dynamit Phishing

Ist Schutz vor Dynamit Phishing möglich? Heise meint: Ja, das ist er. Zunächst einmal sollte jedermann misstrauisch werden, wenn er eine Mail eine ungewöhnliche Aufforderung enthält. So kann es passieren, dass scheinbar der Telekommunikationsdienstleister verlangt, man möge jetzt sein Zugangspasswort ändern, um eine wichtige neue Information zum Vertrag zu erhalten. Das ist natürlich grober Unfug, eine Nachfrage beim Dienstleister lohnt sich. Auch wenn die eigene Mutter plötzlich eine Mail mit einer ungewöhnlichen Aufforderung schickt, dürfte etwas nicht stimmen. Firmen werden mit Mails bombardiert, in denen die Empfänger eine angebliche Rechnung im .doc-Format von MS Word öffnen und dann darin ein Makro ausführen sollen – höchst ungewöhnlich! Bei all diesen Mails sollte die Empfänger beim vermeintlichen Absender nachfragen. Vor allem das Makro darf keinesfalls geöffnet werden – es ist das Einfallstor für die Schadsoftware. Firmen müssen ihre Mitarbeiter dringend zu den Emotet-Gefahren schulen: Die Kriminellen rüsten aktuell massiv auf.

9. Juni 2025Security

Emailadresse gehackt? Leak Check endlich für deutschsprachigen Raum

Ob in Social Media, Online-Shops oder bei Streamingdiensten – für so gut wie jeden Dienst brauchst du eine E-Mail-Adresse. Doch

8. Juni 2025Allgemein

Von Wabsti zu Voting: Das neue System zur Wahlauswertung in der Schweiz

Im Kanton Zürich kam bei drei Urnengängen im September und November 2024 sowie im Februar 2025 erstmals die neue Applikation

Weiterlesen
4. Juni 2025Security

Immobilienbetrug online: Vorsicht vor gefälschten Inseraten und Fake-Verkäufern

Immobilienbetrug im Netz ist kein Einzelfall, sondern ein weit verbreitetes Phänomen – und es betrifft nicht nur Mietwohnungen, sondern auch

Weiterlesen
2. Juni 2025Marketing

Das Markenrecht bei KI-generierten Logos

Ein Firmenlogo ist das erste, was Kunden mit einer Marke verbinden – und dank Künstlicher Intelligenz lassen sich heute in

Weiterlesen
Zum Inhalt springen