Ransomware: Emotet kehrt zurück – als OneNote-E-Mail-Anhang
Die hochentwickelte Schadsoftware Emotet ist wieder aktiv. Sie findet in Form von bösartigen OneNote-Dateien ihren Weg in den E-Mail-Eingang potenzieller Opfer.
Emotet ist zurück – mal wieder. Die Cybergang hinter der hoch entwickelten Schadsoftware ist bekannt für zwischenzeitliche, längere Pausen. Seit Monatsanfang jedoch gehen die Cyberkriminellen wieder auf Opfersuche. Die IT-Sicherheitsforscher von Cofense haben vor rund zwei Wochen beobachtet, dass Emotet wieder aktiv wird. Bösartige E-Mails mit unverschlüsselten ZIP-Dateien im Anhang seien in den Posteingängen gelandet.
Einfallstor für Emotet: bösartiger E-Mail-Anhang
Bei den E-Mails scheint es sich um Antworten auf bereits existierende E-Mail-Verläufe zu handeln, wie es bereits öfter bei Emotet zu beobachten war. Thematisch drehen sie sich meist um Finanzen und Rechnungen, erläutern die Cofense-Mitarbeiter.
Die bisher genutzten ZIP-Dateien benötigten kein Passwort zum Entpacken und enthielten Office-Dokumente mit bösartigen Makros; vor einer Ausführung müssten Empfänger jedoch "Inhalte aktivieren". Diese laden nach dem Start dann den Emotet-Schädling als .dll-Datei herunter. Einschätzungen zur Dauer der Kampagne konnten die IT-Forscher noch nicht abgeben, schreiben sie in einem Blog-Eintrag.
Um solche Hürden und Einschränkungen zu umgehen, setzen die Emotet-Drahtzieher jetzt auf OneNote-Dateianhänge in E-Mails, berichtet das Sicherheitsunternehmen Malwarebytes. Die OneNote-Datei ist einfach, aber dennoch effektiv beim Social Engineering. Sie enthält die falsche Benachrichtigung, der zufolge das Dokument geschützt sei. Wenn die Opfer auf die Schaltfläche "View" doppelt klicken, reicht das die Klicks stattdessen durch und startet ein eingebettetes Skript.
Dieses Skript sei stark verschleiert und lade den Emotet-Schädling aus dem Netz herunter. Auch in diesem Fall liegt die Schadsoftware als .dll-Datei vor und wird mittels regsvr32.exe
gestartet. Sofern die Malware läuft, nimmt sie Kontakt mit ihren Command&Control-Servern auf und wartet auf Anweisungen von dort.
Microsoft hat die "OneNote-Lücke", durch die Malware sich leichter als etwa mit den Office-Makros einschleusen lässt, bereits erkannt. Das Unternehmen arbeitet inzwischen an besserem Schutz vor Phishing mittels OneNote-Dateianhängen.
Emotet: Eines der gefährlichsten Malware-Stücke
Seit 2018 bedroht Emotet Nutzer im Internet. Der Trojaner fährt zahlreiche Schadfunktionen auf. Wurde die Malware erst einmal gestartet, kann sie etwa weitere Trojaner nachladen, sich tief im Netzwerk einnisten und Hintertüren installieren. Um Opfer zum Ausführen der Malware zu bewegen, nutzen die Drahtzieher dahinter in der Regel gut gemachte betrügerische E-Mails. Etwa mittels Spearphishing gelangen sie zuvor an interne Informationen, die die Mails glaubwürdiger machen.
Anfang 2021 gelang Strafverfolgern ein großer Schlag gegen die Infrastruktur hinter Emotet. Es wurde daraufhin zunächst stiller um den Schädling, aber er erscheint in unregelmäßigen Abständen immer wieder erneut auf der Bildfläche.
(dmk)