Emotet war kaputt, infiziert jetzt aber wieder vermehrt Windows-Computer

Sicherheitsforscher von Cryptolaemus haben herausgefunden, dass der Dateianhang von jüngsten Emotet-Mails fehlerhaft war und das Öffnen durch Opfer nicht zu einer Infektion mit Schadcode führte. Nun haben die Drahtzieher der weltweit abermals durchstartenden Kampagne den Fehler ausgebügelt und Emotet baut seine Präsenz aus.

Seit Anfang 2022 tritt Emotet wieder vermehrt auf und infiziert Windows-PCs. Sicherheitsforscher von Kaspersky geben an, dass sie im Februar rund 3000 Mails mit Emotet im Anhang beobachtet haben. Im März sollen es 30.000 gewesen sein – Tendenz steigend. Als Basis soll ein ausgebautes Botnet dienen, das Installer jetzt auf 64-Bit-Basis verteilt.

Emotet wieder scharf geschaltet

In der aktuellen Kampagne soll sich ein passwortgeschütztes Zip-Archiv im Anhang von Betrügermails befinden. Das Passwort steht in der Mail. Lässt sich ein Opfer hinters Licht führen und öffnet den Anhang, befindet sich darin eine vermeintliche Word-Datei, die in Wirklichkeit eine Windows-Dateiverknüpfung (LNK) ist.

Nach einem Doppelklick soll eigentlich ein VBS-Skript starten, um den Schadcode auf Computer zu laden. Doch aufgrund einer fehlerhaften Verknüpfung ist das nicht geschehen, berichtet Cryptolaemus auf Twitter. Der Fehler soll inzwischen bereinigt sein und Emotet-Infektionen funktionieren wieder.

Sicherheitsforscher von Cofense listen Dateinamen von Emotet-Anhängen der aktuellen Kampagne auf:

• form.zip
• Form.zip
• Electronic form.zip
• PO 04252022.zip
• Form - Apr 25, 2022.zip
• Payment Status.zip
• BANK TRANSFER COPY.zip
• Transaction.zip
• ACH form.zip
• ACH payment info.zip

Äußerst gefährliche Malware

Emotet ist seit 2018 unterwegs und weist vielfältige Schadfunktionen auf. Einmal installiert, kann der Schadcode etwa weitere Trojaner nachladen, sich tief im Netzwerk einnisten und Hintertüren installieren.

In der Regel versucht die Malware über gut gemachte Betrüger-Mails auf Computer zu kommen. Dafür nützen die Drahtzieher oft ausspionierte Interna von Firmen, um mit ihren Mails an real existierende Projekte anzuknüpfen. Das wirkt glaubhafter und soll Opfer da zubringen, den Dateianhang zu öffnen, der Emotet herunterlädt. Allgemein gilt, dass man nicht ohne Nachzudenken auf Links in Mails klickt oder angehängte Dateien öffnet.

Anfang 2021 gelang Strafverfolgern ein großer Schlag gegen die Malware-Infrastruktur und es wurde still um Emotet. Seitdem ist der Schädling aber nie ganz verschwunden und die Sicherheitsproblematik kocht immer mal wieder hoch.

(des)