zurück zum Artikel

Offensichtlich hat es der Emotet-Schädling nun auf Privatpersonen abgesehen. Derzeit sind gehäuft gefälschte Amazon-, Telekom- und Vodafone-Mails unterwegs.

Der Multifunktionstrojaner für Windows Emotet ist wieder im Umlauf und versteckt sich in vermeintlichen Telekom- und Vodafone-Rechnungen. Zudem sind vermehrt Fake-Amazon-Mails unterwegs. Wer dieser Tage so eine Mail bekommt, sollte auf keinen Fall den Anhang öffnen oder auf Links innerhalb der Nachricht klicken.

BSI und LKA warnen

Das CERT-Bund hat ein vermehrtes Aufkommen dieser Betrügermails beobachtet und warnt davor auf Twitter [1]. Die Mails orientieren sich beim Layout und Text an Originalen und sie wirken auf den ersten Blick glaubhaft. Erst wer sich den Absender genau anschaut, erkennt, dass die Mail von einem kompromittierten Server und nicht von der Telekom oder von Vodafone versendet wurden.

Die Macher der Betrügermails zielen darauf ab, dass Opfer den Dateianhang in Form einer unechten Rechnung öffnen. In der Regel sind das Word-Dokumente mit eingebetteten Makrofunktionen. Wer so ein Dokument öffnet und darin die Makros aktiviert, hat seinen Computer infiziert. Ein Hintergrundartikel von heise Security zeigt, wie man sich vor so etwas schützt [2] und wie man sich im Ernstfall am effektivsten verhält.

Das LKA Niedersachsen verzeichnet momentan ein enormes Aufkommen von gefälschten Amazon-Mails. In diesen finden sich Links, die ebenfalls zu Word-Dateien mit Makros führen, die nach dem Ausführen Emotet auf den Computer holen.

Neu ausgerichtete Emotet-Kampagne

Emotet sorgte Ende 2018 für Schlagzeilen [3], als der Trojaner ganze Firmen lahmlegte und Schäden in Millionenhöhe verursachte. Auch zu dieser Zeit warnte das CERT-Bund vor einer Infektionswelle. Zu diesem Zeitpunkt waren Unternehmen das Hauptziel der Kriminellen. Dabei setzten sie auf extrem gut gemachte Phishing-Mails, die angeblich von Arbeitskollegen oder sogar dem eigenen Chef stammten. Zum Teil griffen die Mails sogar aktuelle Projekte in Firmen auf, um die Glaubwürdigkeit zu steigern. Die Drahtzieher haben dafür akribisch Informationen über Opfer zusammengetragen und daraus eine neue Generation von Phishing-Mails gestrickt. Die maßgeschneiderten Nachrichten (Spear Phishing) werden in großer Zahl verschickt und man kann hier von Dynamit-Phishing sprechen.

Nun scheinen Privatpersonen im Fokus zu stehen und die Emotet-Drahtzieher setzen auf altbewährte Phishing-Mails mit gefälschten Rechnungen. Die Masche mit Makroviren ist gefühlt uralt – funktioniert aber offensichtlich immer noch.

Emotet ist äußerst gefährlich und perfide, weil er vielseitig einsetzbar ist. Zum Beispiel holt er nach einer Infektion beispielsweise den Banking-Trojaner Trickbot auf Computer. Außerdem kopiert er Passwörter aus Browsern und Mail-Clients, kann sich wurmartig in Netzwerken verbreiten und effektiv vor Schutzsoftware verstecken. Darüber hinaus soll sich die weiterentwickelte aktuelle Version noch effektiver durch Spamfilter mogeln, erläutern Sicherheitsforscher von Cisco Talos in einem Beitrag [4].

(des [6])

URL dieses Artikels:
https://www.heise.de/-4291268

Links in diesem Artikel:

1. https://twitter.com/certbund/status/1089903361816739843
2. https://www.heise.de/hintergrund/Dynamit-Phishing-mit-Emotet-So-schuetzen-Sie-sich-vor-der-Trojaner-Welle-4243695.html
3. https://www.heise.de/news/Achtung-Dynamit-Phishing-Gefaehrliche-Trojaner-Welle-legt-ganze-Firmen-lahm-4241424.html
4. https://blog.talosintelligence.com/2019/01/return-of-emotet.html
5. https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
6. mailto:des@heise.de

Copyright © 2019 Heise Medien