Emotet kehrt zurück

Er ist wieder da: Der berüchtigte Trojaner Emotet, der sich vor allem über Spam-Mails verbreitet, treibt nach einer dreimonatigen Pause erneut sein Unwesen. Er baut sein Netzwerk wieder auf und infiziert Geräte auf aller Welt, wie "Bleepingcomputer" berichtet. 

Emotet hatte bereits ein grosses Comeback. Nach dem Takedown durch Strafverfolgungsbehörden im Januar 2021 kehrte die Malware im November desselben Jahres in neuen Varianten zurück. Im Januar 2022 führte der einst totgesagte Trojaner erneut das Ranking der in der Schweiz am häufigsten verbreiteten Schadprogramme an. Per Januar 2023 nahm die Verbreitung von Emotet wieder ab: Die Schadsoftware landete in der "Most-Wanted"-Liste des israelischen IT-Sicherheitsanbieters Check Point nur noch auf Platz 7. 

Gefährliches Einfallstor

Emotet gilt als eine der gefährlichsten Malware-Familien, da sie vor allem als Einfallstor für Cyberattacken auf Unternehmen aller Grössen zum Einsatz kommt. Nach der Übertragung des Schadprogramms folgte in der Vergangenheit oft Erpressung. 

Die Malware verbreitet sich in der Regel über Mails mit bösartigen Anhängen, beispielsweise über vermeintliche Word- oder -Excel-Dateien. Öffnet man diese Dokumente bei aktivierten Makros, wird die Datei Emotet-DLL heruntergeladen und in den Speicher geladen. Danach wartet die Malware auf Anweisungen von einem Kontrollserver. Schliesslich stiehlt die Malware die E-Mails und Kontakte der Opfer, um sie für künftige Emotet-Kampagnen zu verwenden, oder sie lädt weitere Schadsoftware wie etwa Cobalt Strike herunter, die üblicherweise zu Ransomware-Angriffen führt.

Auffällig grosse Anhänge

Die letzte gross angelegte Emotet-Spam-Kampagne fand gemäss "Bleepingcomputer" im November 2022 statt. Sie dauerte nur zwei Wochen, also vergleichsweise kurz. Nun verschickt das Emotet-Botnetz jedoch erneut E-Mails, wie das Nachrichtenportal unter Berufung auf das Cybersecurity-Unternehmen Cofense und auf die Emotet-Forschungsgruppe Cryptolaemus schreibt. Das Volumen der aktuellen Spam-Welle sei derzeit noch gering, da das Netzwerk gezielt neue Anmeldedaten und Adressbücher sammle, um weitere Kampagnen zu starten und den Trojaner so in Umlauf zu bringen. 

Anstelle von E-Mail-Antwortketten wie bei früheren Kampagnen würden die Bedrohungsakteure nun vermeintliche Rechnungen verschicken. Im Anhang der Mails befinden sich ZIP-Archive, die auffällig grosse Word-Dateien (über 500MB) enthalten. Die schiere Grösse dieser Dateien soll es Antivirenlösungen erschweren, den Anhang zu scannen und ihn als bösartig zu erkennen. Die Word-Dateien verwenden die sogenannte "Red Dawn"-Dokumentenvorlage von Emotet und fordern die User dazu auf, Makros zwecks korrekter Darstellung des Inhalts zu aktivieren. 

Ein Office-Dokument mit Makros zum Herunterladen und Ausführen von Emotet. (Source: cofense.com)

Makro-Deaktivierung durch Microsoft könnte helfen

Seit Ende Juli 2022 soll Microsoft Office heruntergeladene VBA-Makros standardmässig blockieren. Vor einer Freigabe warnen Word, Excel & Co. vor den entsprechenden Risiken. Dies könnte der Verbreitung der aktuellen Emotet-Kampagne einen Riegel vorschieben, schreibt "Bleepingcomputer". Wer ein Emotet-Mail erhalte, werde durch die Änderung von Microsoft wahrscheinlich davor geschützt, Makros irrtümlich zu aktivieren.

Allerdings hat die standardmässige Makro-Deaktivierung andere Bedrohungsakteure bereits dazu veranlasst, andere Dateiformate wie etwa OneNote- und JS-Dateien oder ISO-Images zu missbrauchen. Es wäre also nicht überraschend, schreibt "Bleepingcomputer" weiter, wenn auch die Emotet-Akteure auf andere Anhangstypen ausweichen würden. 

Seit dem 3. Februar findet übrigens ein breit angelegter Cyberangriff gegen dutzende IT-Systeme statt. Einfallstor ist eine Sicherheitslücke im ESXi-Server von VMware. Laut dem NCSC wurden auch in der Schweiz schon Server erfolgreich verschlüsselt. Lesen Sie hier mehr dazu. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.