Bereits im vergangenen Dezember warnten Sicherheits-Spezialisten vor Angriffen der gefährlichen Schadsoftware Emotet. Die Security-Experten von Cisco Talos legen nun nach: Aktuell soll der Trojaner noch raffinierter sein Unwesen treiben, als bisher.
Die Malware Emotet, deren Urheber es auf die finanziellen Mittel ihrer Opfer abgesehen haben, verbreitet sich via E-Mails. Die Nachrichten werden mit Word-Dateien im Anhang verschickt, die bösartige Makros enthalten. Die Emotet-Mails sehen täuschend echt aus, zudem erscheinen im Absender Personen, mit denen die Empfänger erst kürzlich in Kontakt standen. Werden die Datei-Anhänge geöffnet, infiziert Emotet den Computer des Empfängers, wobei anschliessend meist weitere Schadsoftware nachgeladen wird, wie beispielsweise Banking-Trojaner oder Ransomware.
Laut einem aktuellen Blogpost der Sicherheitsunternehmens Cisco Talos ist nebst der beschriebenen Variante auch eine zusätzliche Version der Emotet-Mails im Umlauf. Ihr Ziel ist es, die Empfänger über einen Link in der Mail zu einem direkten Download von Malware zu verleiten. Gehostet wird die betreffende Malware offenbar meist auf zuvor von Emotet kompromittierten Webseiten.
Jetzt noch gefährlicher − dank Domainerkennung
Die verschiedenen Emotet-Mails, die sich aktuell im Umlauf befinden, sind laut Cisco Talos speziell gefährlich, da sie über neue, zusätzliche Eigenschaften verfügen. So kann die Schadsoftware erkennen, ob die kompromittierte Domain, von der aus die betrügerischen E-Mails verschickt werden, bereits auf einer Sperrliste steht. Die Angreifer können auf diese Weise auf Nummer sicher gehen, dass die Mails auch tatsächlich in der Inbox der potentiellen Opfer landen und nicht in Spamfiltern hängen bleiben.
Emotet ist zudem in der Lage, die Betreffzeilen der verschickten E-Mails immer wieder zu verändern, wodurch beispielsweise in Unternehmen die gefälschten Berichte weniger auffallen. Gemäss Cisco Talos können sich die Emotet-Kampagnen auf diese Weise täglich verändern. Da Emotet offenbar sehr erfolgreich ist, dürfte laut Einschätzung des Security-Unternehmens künftig mit einer Zunahme derartiger «modularer» Malware zu rechnen sein, die bei den Opfern unterschiedliche Arten von Schadsoftware installiert.
MELANI: Emotet verbreitet Ransomware «Ryuk»
Zu Emotet geäussert hat sich vor kurzem auch die Melde- und Analysestelle Informationssicherung MELANI des Bundes. Laut einem Bericht werden mithilfe von Emotet derzeit vor allem gezielt Windows-Unternehmensnetzwerke mit der Ransomware «Ryuk» infiziert. Diese verschlüsselt Dateien, die auf den betroffenen Computern gespeichert sind. Für die Freigabe der Daten fordern die Angreifer von ihren Opfern anschliessend erhebliche Lösegeldsummen. Aufgrund der Beschaffenheit des Trojaners besteht gemäss MELANI zudem ein hohes Risiko, dass sich «Ryuk» in infizierten Unternehmensnetzwerken weiterverbreitet und weitere Schäden anrichtet.