diverse Angriffswellen durch Emotet [Sammelthema]

  • Allgemein

  • mad.de
  • 240 Aufrufe 5 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • diverse Angriffswellen durch Emotet [Sammelthema]

    Banking-Trojaner Emotet: Sicherheitsspezialisten entdecken neue Angriffswelle


    Emotet bleibt gefährlich, weil es sich immer wieder verändert. Es sorgt auch in Deutschland für hohe Schadensfälle, indem es weitere Schadprogramme nachlädt. Cisco Talos erwartet eine Zunahme modularer Malware-Familien wie Emotet.

    Ciscos Sicherheitssparte Talos hat in jüngster Zeit mehrere Malwarekampagnen mit dem Banking-Trojaner Emotet beobachtet, der seit Jahren immer wieder für umfangreiche Schadensfälle sorgt. Im Mittelpunkt stehen an E-Mails angehängte Microsoft-Word-Dateien, in denen bösartige Makros für den Download von Emotet eingebettet sind.

    Die jüngste Variante kann zusätzlich ermitteln, ob die kompromittierte Domain, von der aus die bösartigen Mails versandt werden, bereits auf einer Sperrliste verzeichnet ist. Damit können Angreifer sicherstellen, dass mehr ausgesandte Nachrichten tatsächlich bei potentiellen Opfern ankommen und nicht in Spamfiltern hängen bleiben.

    Wie schon bei früheren Angriffswellen setzen die Hintermänner Emotet ein, um modulare Schadsoftware auszuliefern. Neben Banking-Trojanern können das auch andere Bedrohungen wie etwa Ransomware sein. Die Auswahl der Module erfolgt offenbar nach den jeweils besten Aussichten, mit den infizierten Systemen Geld zu verdienen. Emotet begann einst als reiner Banking-Trojaner, hat sich aber in den letzten Jahren immer weiter entwickelt und fiel in jüngerer Zeit durch zahlreiche gezielte Infektionen mit Ryuk-Ransomware auf.

    Emotet erreicht die Opfer meist über angehängte Office-Dokumente mit Makros, aber auch URL-basierte Spam-Nachrichten können zu einer möglichen Infektion führen. Laut Cisco Talos verändern und entwickeln sich die Kampagnen täglich, und auch die unterstützende Infrastruktur ist einem ständigen Wandel unterworfen. Zu beobachten sei, dass Emotet manche Kommando- und Kontrollserver über längere Zeiträume immer wieder verwendet.

    Emotet ist offenbar geschickt darin, die Betreffzeilen der versandten Mails immer wieder zu verändern, so dass selten eine große Anzahl von E-Mails mit einem identischen Betreff auffällt. Auch bei den zuletzt beobachten Kampagnen ging es vor allem um angebliche Rechnungen und anstehende Paketlieferungen. Die versandten E-Mails sind außerdem in verschiedenen Sprachen einschließlich Deutsch verfasst. Eine zweite Kampagnenversion setzt auf direkten URL-Download anstelle angehängter Office-Dokumente mit Makros, um die Malware ans Ziel zu bringen. Das Hosting der Malware erfolgt überwiegend auf zuvor kompromittierten Websites.

    Cisco Talos erwartet eine weitere Zunahme modularer Malware-Familien wie Emotet, die unterschiedliche Schadsoftware ausliefern und die Gewinnaussichten der Hintermänner maximieren. „Wie die kürzlich eingeführte Überprüfung auf Sperrlisten durch das Spam-Modul zeigt, sucht Emotet die finanziellen Vorteile unter allen Umständen zu maximieren und gleichzeitig Varianten weniger einzusetzen, die einen geringeren Ertrag versprechen“, kommentieren die Sicherheitsforscher. „Solche Veränderungen sind es, die Emotet am oberen Ende der Crimeware-Landschaft halten.“

    Schon im letzten Monat warnte die Deutsche Telekom ihre Kunden vor massenhaft versandten Phishing-Mails einer so genannten „Emotet-Gang“ von Cyberkriminellen. An die Mails waren gefälschte Rechnungen als Word-Dateien angehängt, die Makros enthielten. Ließen Empfänger deren Ausführung zu, mussten sie mit der Installation von Malware rechnen. Schadsoftware konnte sich auch einhandeln, wer auf in einem angehängten PDF-Dokument enthaltene Links klickte.

    Die Telekom empfahl die sofortige Löschung verdächtiger Mails, ohne auf Links innerhalb einer solchen Nachricht zu klicken. Während sie im Fall einer bereits erfolgten Infektion die Säuberung mit einer Software wie EU-Cleaner empfahl, geht das BSI für Bürger in einer aktuellen Information zur Schadsoftware Emotet weiter und rät, einen infizierten Rechner neu aufzusetzen. Bereinigungsversuche bleiben laut BSI in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.

    Darüber hinaus meldet das BSI (Bundesamt für Sicherheit in der Informationstechnik), dass Emotet ganze Unternehmensnetzwerke lahmlegt. Es gelte als eine der weltweiten gefährlichsten Malware-Bedrohungen und sorge auch in Deutschland für hohe Schadensfälle, indem es weitere Schadprogramme nachlädt. An Unternehmen und Institutionen richten sich die empfohlenen Maßnahmen zum Schutz vor Emotet, die das BSI im Rahmen der Allianz für Cyber-Sicherheit ausspricht.

    Quelle: Banking-Trojaner Emotet: Sicherheitsspezialisten entdecken neue Angriffswelle | ZDNet.de
  • Aktuelle Trojaner-Welle: Emotet lauert in gefälschten Rechnungsmails

    Offensichtlich hat es der Emotet-Schädling nun auf Privatpersonen abgesehen. Derzeit sind gehäuft gefälschte Amazon-, Telekom- und Vodafone-Mails unterwegs.

    Der Multifunktionstrojaner für Windows Emotet ist wieder im Umlauf und versteckt sich in vermeintlichen Telekom- und Vodafone-Rechnungen. Zudem sind vermehrt Fake-Amazon-Mails unterwegs. Wer dieser Tage so eine Mail bekommt, sollte auf keinen Fall den Anhang öffnen oder auf Links innerhalb der Nachricht klicken.

    BSI und LKA warnen
    Das CERT-Bund hat ein vermehrtes Aufkommen dieser Betrügermails beobachtet und warnt davor auf Twitter. Die Mails orientieren sich beim Layout und Text an Originalen und sie wirken auf den ersten Blick glaubhaft. Erst wer sich den Absender genau anschaut, erkennt, dass die Mail von einem kompromittierten Server und nicht von der Telekom oder von Vodafone versendet wurden.

    Die Macher der Betrügermails zielen darauf ab, dass Opfer den Dateianhang in Form einer unechten Rechnung öffnen. In der Regel sind das Word-Dokumente mit eingebetteten Makrofunktionen. Wer so ein Dokument öffnet und darin die Makros aktiviert, hat seinen Computer infiziert. Ein Hintergrundartikel von heise Security zeigt, wie man sich vor so etwas schützt und wie man sich im Ernstfall am effektivsten verhält.
    Das LKA Niedersachsen verzeichnet momentan ein enormes Aufkommen von gefälschten Amazon-Mails. In diesen finden sich Links, die ebenfalls zu Word-Dateien mit Makros führen, die nach dem Ausführen Emotet auf den Computer holen.

    Neu ausgerichtete Emotet-Kampagne
    Emotet sorgte Ende 2018 für Schlagzeilen, als der Trojaner ganze Firmen lahmlegte und Schäden in Millionenhöhe verursachte. Auch zu dieser Zeit warnte das CERT-Bund vor einer Infektionswelle. Zu diesem Zeitpunkt waren Unternehmen das Hauptziel der Kriminellen. Dabei setzten sie auf extrem gut gemachte Phishing-Mails, die angeblich von Arbeitskollegen oder sogar dem eigenen Chef stammten. Zum Teil griffen die Mails sogar aktuelle Projekte in Firmen auf, um die Glaubwürdigkeit zu steigern. Die Drahtzieher haben dafür akribisch Informationen über Opfer zusammengetragen und daraus eine neue Generation von Phishing-Mails gestrickt. Die maßgeschneiderten Nachrichten (Spear Phishing) werden in großer Zahl verschickt und man kann hier von Dynamit-Phishing sprechen.

    Nun scheinen Privatpersonen im Fokus zu stehen und die Emotet-Drahtzieher setzen auf altbewährte Phishing-Mails mit gefälschten Rechnungen. Die Masche mit Makroviren ist gefühlt uralt – funktioniert aber offensichtlich immer noch.
    Emotet ist äußerst gefährlich und perfide, weil er äußerst vielseitig einsetzbar ist. Zum Beispiel holt er nach einer Infektion beispielsweise den Banking-Trojaner Trickbot auf Computer. Außerdem kopiert er Passwörter aus Browsern und Mail-Clients, kann sich wurmartig in Netzwerken verbreiten und effektiv vor Schutzsoftware verstecken. Darüber hinaus soll sich die weiterentwickelte aktuelle Version noch effektiver durch Spamfilter mogeln, erläutern Sicherheitsforschervon Cisco Talos in einem Beitrag.

    Quelle: Aktuelle Trojaner-Welle: Emotet lauert in gefälschten Rechnungsmails | heise online
  • Emotet: CERT-Bund warnt vor gefälschten Microsoft-Mails

    Die Phishing-Mails verwenden geschickt die Floskeln echter Aussendungen, um zu Klicks zu verleiten. Die Opfer handeln sich damit die modulare Malware Emotet ein. Emotet begann als Banking-Trojaner, fiel zuletzt aber auch durch Ransomware-Infektionen auf.

    Die Windows-Malware Emotet wird über eine neue Angriffswelle mit E-Mails verbreitet, die angeblich von Microsoft kommen und über Änderungen eines Servicevertrags informieren. Vor den in großem Umfang versandten Phishing-Mails warnt das CERT-Bund (Computer Emergency Response Team der Bundesverwaltung), das im BSI angesiedelt ist: „NICHT die Links in der E-Mail anklicken!“

    Im Gegensatz zu vielen anderen Phishing-Kampagnen wirken Gestaltung und Text der gefälschten Mails glaubwürdig. Sie sind nicht in Radebrech-Deutsch gehalten, ihre Rechtschreibung ist stimmig. Sie bedienen sich einfach bei den Floskeln und juristischen Formulierungen echter Aussendungen, um zu unüberlegten Klicks zu verleiten. In Onlineforen fragen sich verunsicherte Nutzer nicht ohne Grund immer wieder, ob solche eingegangenen E-Mails echt sind oder nicht.

    „Der Servicevertrag ist jetzt übersichtlicher gestaltet“, heißt es in den gefälschten Mails. Sie erreichen die Empfänger angeblich aufgrund von Änderungen am Microsoft-Servicevertrag, der für von ihnen genutzte Produkte gelte. „Die Nutzung unserer Heimanwenderprodukte und -dienste (einschließlich Käufen) ab dem 13. Februar 2019 gilt als Zustimmung ihrerseits zum aktualisierten Microsoft-Servicevertrag“, erklärt die Aussendung dann. „Wenn Sie den Bestimmungen nicht zustimmen, können Sie die Produkte und Dienste nicht mehr nutzen und sollten Ihr Microsoft-Konto schließen, bevor die Bestimmungen in Kraft treten.“

    Die enthaltenen Links führen angeblich zu einem vollständigen neuen Microsoft-Servicevertrag und einem Formular zur Schließung des Microsoft-Kontos. Der Text spricht auch noch ausdrücklich Elternteile oder sonstige Erziehungsberechtigte an, da sie für die Nutzung von Microsofts Produkten und Diensten durch ihre Kinder oder Teenager verantwortlich seien. „Vielen Dank, dass Sie Produkte und Dienste von Microsoft nutzen“, schließt die Phishing-Mail.

    Emotet wird immer wieder verwendet
    Eine ähnliche Emotet-Angriffswelle zielte im Dezember auf Kunden der Deutschen Telekom. An die Mails waren gefälschte Rechnungen als Word-Dateien angehängt, die Makros enthielten. Ließen Empfänger deren Ausführung zu, mussten sie mit der Installation von Malware rechnen. Schadsoftware konnte sich auch einhandeln, wer auf in einem angehängten PDF-Dokument enthaltene Links klickte.

    Die Telekom empfahl die sofortige Löschung verdächtiger Mails, ohne auf Links innerhalb einer solchen Nachricht zu klicken. Während sie im Fall einer bereits erfolgten Infektion die Säuberung mit einer Software wie EU-Cleaner empfahl, ging das BSI für Bürger in einer aktuellen Information zur Schadsoftware Emotet weiter und riet, einen infizierten Rechner neu aufzusetzen. Bereinigungsversuche bleiben laut BSI in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben. Darüber hinaus meldete das BSI (Bundesamt für Sicherheit in der Informationstechnik), dass Emotet ganze Unternehmensnetzwerke lahmlegt. An Unternehmen und Institutionen richten sich die empfohlenen Maßnahmen zum Schutz vor Emotet, die das BSI im Rahmen der Allianz für Cyber-Sicherheit aussprach.

    Im Januar berichtete Ciscos Sicherheitssparte Talos von mehreren aktuellen Malwarekampagnen, in deren Mittelpunkt an E-Mails angehängte Microsoft-Word-Dateien stehen, in denen bösartige Makros für den Download von Emotet eingebettet sind. Laut Talos setzen die Hintermänner Emotet inzwischen ein, um modulare Schadsoftware auszuliefern. Neben Banking-Trojanern können das auch andere Bedrohungen wie etwa Ransomware sein. Die Auswahl der Module erfolgt offenbar nach den jeweils besten Aussichten, mit den infizierten Systemen Geld zu verdienen. Emotet begann einst als reiner Banking-Trojaner, hat sich aber in den letzten Jahren immer weiter entwickelt und fiel in jüngerer Zeit durch zahlreiche gezielte Infektionen mit Ryuk-Ransomware auf.

    Quelle: Emotet: CERT-Bund warnt vor gefälschten Microsoft-Mails
  • Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen

    Derzeit sind erneut vermehrt E-Mails mit Fake-Rechnungen in Umlauf. Wer nicht aufpasst, fängt sich den Windows-Trojaner Emotet ein.

    Bei E-Mails mit Dateianhang sollte man argwöhnisch sein – immer.
    Dieser Tage landen gehäuft gefälschte Rechnungen in Mail-Postfächern. Im Anhang dieser Nachrichten befindet sich ein PDF-Dokument. Die Mails weisen Betreffzeilen wie "Zahlungsanfrage" oder "Fehlende Rechnung" auf.

    Mehrere Leser haben heise Security solche Mails weitergeleitet. Der Text in den Mails ist kurz und knapp und variiert. Wirklich überzeugend wirkt das nicht – es gab schon weitaus glaubhaftere und somit gefährlichere Rechnungsmails. Das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT-Bund warnt auf Twitter vor diesen Nachrichten. Auch das LKA Niedersachsen beobachtet derzeit ein erhöhtes Aufkommen.

    Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen
    Die gefälschten Mails stammen von kruden Absender-Adressen wie Kfz-Tchnik@moldocor.ro. Im PDF ist ein Link zu einem mit Makros präparierten Word-Dokument.

    Vom PDF zum Word-Dokument zum Trojaner
    Wer so eine Mail bekommt, sollten den Anhang nicht herunterladen und die Nachricht löschen. Die Drahtzieher dieser Spam-Kampagne wollen über diesen Weg Windows-Computer mit dem Multifunktionstrojaner Emotet anstecken. Das alleinige Öffnen des PDFs löst aber noch keine Infektion aus.

    In dem Dokument befindet sich ein Link, der zu einem Word-Dokument führt. Dieses ist mit Makros präpariert. Der Text darin versucht, Opfer dazu zu bringen, die Makros zu aktivieren. In der Regel ist diese Funktion standardmäßig deaktiviert. Eigentlich sollen Makros beispielsweise wiederkehrende Aufgaben bei der Erstellung eines Dokumentes zu automatisieren. In diesem Fall missbrauchen die Betrüger die Funktion aber dazu, um den Schädling herunterzuladen. Für eine erfolgreiche Infektion müssen Opfer also mehrere Schritte mitmachen.

    Parallel dazu sind auch wieder Fake-Rechnungsmails mit einem gefährlichen Link unterwegs, die von vermeintlich Bekannten oder Arbeitskollegen stammen. Diese maßgeschneiderten Nachrichten (Spear Phishing) werden in großer Zahl verschickt und man kann hier von Dynamit-Phishing sprechen. Die heise Security vorliegende Mail ist aber nicht sehr gut gemacht.

    So schützt man sich
    Diese Form von Makros funktionieren aber nur mit Microsoft Office. Nutzer von LibreOffice und OpenOffice sollten nicht gefährdet sein. Wie man sich vor Emotet & Co. schützen kann, zeigt ein Hintergrundartikel von heise Security.

    Wie sich Unternehmen auf die Gefahren durch Emotet und Co. optimal vorbereiten können, das ist auch einer der Schwerpunkte der diesjährigen Heise-Security-Tour "Wissen schützt - Cybercrime Next Generation abwehren". Das Thema spielt auch auf der im März in Hannover stattfindenden secIT 2019 eine Rolle.

    Perfider Schädling
    Ende 2018 gab es eine große Emotet-Welle, unter der vor allem Unternehmen litten. Dabei entstanden Schäden in Millionenhöhe. Ende Januar hing Emotet an gefälschten Vodafone-Rechnungen, um Privatpersonen ins Visier zu nehmen.

    Emotet ist besonders gefährlich, weil er vielseitig einsetzbar ist. Er kann etwa den Banking-Trojaner Trickbot auf Computer holen und Passwörter aus Browsern und Mail-Clients kopieren. Außerdem kann er sich in Netzwerken wurmartig verbreiten.

    Quelle: Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen | heise online
  • Trojaner Emotet zielt auf Apple-Kunden ab

    Mit einer gefälschten Warn-E-Mail wollen Kriminelle nun Apple-Nutzer dazu bringen, den Emotet-Schädling auf den Computer zu lassen.

    Um weitere Opfer für den Windows-Trojaner Emotet zu finden, haben es Unbekannte nun auch speziell auf Apple-Kunden abgesehen. Eine gefälschte, vorgeblich vom Apple-Support stammende E-Mail fordert den Empfänger dazu auf, einem Link zu folgen, um so angeblich eine Deaktivierung und Löschung bestimmter Apple-Dienste zu verhindern. Die Mails mit dem Betreff "Nachricht von Apple" gaukeln vor, das Unternehmen habe den "Zugriff zu ihrem Kundenkonto eingeschränkt". Um den Account wieder zu aktivieren, müsse man nur dem Link folgen.
    Link in vorgeblicher Apple-Mail keinesfalls anklicken!!!

    Darüber werde aber das Schadprogramm Emotet verbreitet, wie CERT-Bund inzwischen warnt, Empfänger sollten den Link keinesfalls anklicken. Als Absender werden auch legitime Accounts genutzt, um so Spam-Filter zu umgehen, merken die Sicherheitsforscher des Bundesamtes für Sicherheit in der Informationstechnik an.

    Seit rund einem Monat treibt der Trojaner Emotet wieder verstärkt sein Unwesen und zielt inzwischen vorrangig auf Privatpersonen ab, dafür kamen bislang vor allem gefälschte Mails von Amazon, Telekom und Vodafone zum Einsatz – sowie aktuell auch von der Sparkasse, wie CERT-Bund ausführt. Gewöhnlich soll auf diese Weise versucht werden, den Nutzer zum Download eines Word-Dokumentes mit eingebetteter Makrofunktion zu locken. Wird dieses geöffnet und das Ausführen der Makros erlaubt, kann der Schädling so den Computer infizieren.

    Makro-Malware auf für den Mac möglich
    Bislang scheint Emotet rein auf Windows-Systeme abzuzielen, mit den gefälschten Apple-Mails sollen also iPhone-Besitzer mit iCloud-Account und Windows-PC angesprochen werden. Vereinzelt sind in den vergangenen Jahren aber auch manipulierte Word-Dokumente aufgetaucht, deren Makro-Malware speziell auf macOS ausgelegt ist – entsprechend sollten auch Mac-Nutzer Links und Dokumente in derartigen Warn-Mails keinesfalls anklicken und öffnen.

    Quelle: Trojaner Emotet zielt auf Apple-Kunden ab | heise online
  • Neu

    Dynamit-Phishing: Emotet perfektioniert seine Angriffe weiter

    Mit Hilfe von früher abgegriffenen E-Mails basteln die Kriminellen absolut echt wirkende Dynamit-Phishing-Mails.

    Bereits seit Herbst vorigen Jahres sammelt Emotet auf jedem infizierten System die dort gespeicherten Outlook-Mails ein. Bisher nutzte es die nur, um plausible Absender und Empfänger für weitere Phishing-Mails zu erzeugen. Doch jetzt nutzt es den tatsächlichen Inhalt der gestohlenen Mails, um das noch weiter zu perfektionieren.

    heise Security und c't warnten bereits 2018, dass weiter perfektionierte Dynamit-Phishing-Aktivtäten zu erwarten sind. Jetzt dokumentiert das CERT-Bund erstmals einen Fall, in dem diese Befürchtungen tatsächlich Realität werden. Eine Dynamit-Phishing-Mail der Emotet-Bande hängt die gestohlenen Mails an, um so eine bereits existierende Kommunikation wieder aufzugreifen. Außerdem bettet es täuschend echt aussehende Links auf die Domain des angeblichen Absenders ein. Ziel des Ganzen ist es nach wie vor, den Empfänger zum Öffnen einer Word-Datei zu verleiten und in dieser das "Bearbeiten" zu aktivieren, was das heimliche Ausführen von Schadcode ermöglicht.

    heise Security hat in Dynamit-Phishing mit Emotet: So schützen Sie sich vor der Trojaner-Welle bereits praktische Tipps zum Schutz zusammengestellt, die nach wie vor gültig sind. Die ab Ende April startende heise-Security-Konferenz erklärt den Sicherheitsverantwortlichen von Unternehmen ganz konkret, was im Zug dieser neuen Generation von Cybercrime noch alles auf sie zukommt und wie Sie sich und ihr Unternehmen sinnvoll darauf vorbereiten. Die Eintagesveranstaltung findet in Berlin, Stuttgart, Hamburg, Köln, Stuttgart und Salzburg statt.

    Quelle: Dynamit-Phishing: Emotet perfektioniert seine Angriffe weiter | heise online