Getty Images
Das Emotet-Botnet, das weithin als eine der größten Bedrohungen des Internets angesehen wird, ist nach einer monatelangen Pause zurückgekehrt – und es hat einige neue Tricks.
Letzte Woche, Emotet zum ersten Mal erschienen dieses Jahr nach einer viermonatigen Pause. Es kehrte mit seiner Markenaktivität zurück – einer Welle bösartiger Spam-Nachrichten, die scheinbar von einem bekannten Kontakt stammen, den Empfänger namentlich ansprechen und auf einen bestehenden E-Mail-Thread zu antworten scheinen. Als Emotet von früheren Unterbrechungen zurückkehrte, brachte es neue Techniken mit, die entwickelt wurden, um Endpoint-Sicherheitsprodukte zu umgehen und Benutzer dazu zu bringen, auf Links zu klicken oder gefährliche Makros in angehängten Microsoft Office-Dokumenten zu aktivieren. Die Wiederaufnahme der Aktivitäten in der vergangenen Woche war nicht anders.
Eine böswillige E-Mail, die am vergangenen Dienstag verschickt wurde, enthielt beispielsweise ein Word-Dokument, an dessen Ende eine riesige Menge irrelevanter Daten angehängt war. Als Ergebnis war die Datei mehr als 500 MB groß, groß genug, um zu verhindern, dass einige Sicherheitsprodukte den Inhalt scannen konnten. Diese Technik, die als binäres Auffüllen oder Dateipumpen bekannt ist, funktioniert durch Hinzufügen von Nullen am Ende des Dokuments. Für den Fall, dass jemand dazu verleitet wird, das Makro zu aktivieren, wird auch die schädliche Windows-DLL-Datei, die geliefert wird, gepumpt, wodurch sie von 616 KB auf 548,1 MB ansteigt, so Forscher der Sicherheitsfirma Trend Micro sagte am Montag.
Ein weiterer Ausweichtrick, der im beigefügten Dokument entdeckt wurde: Auszüge aus dem Romanklassiker Moby Dick von Herman Melville, die in weißer Schrift über einer weißen Seite erscheinen, damit der Text nicht lesbar ist. Einige Sicherheitsprodukte kennzeichnen automatisch Microsoft Office-Dateien, die nur ein Makro und ein Bild enthalten. Der unsichtbare Text soll solche Software umgehen, ohne den Verdacht des Ziels zu erregen.
Tiefer Instinkt
Beim Öffnen zeigen die Word-Dokumente eine Grafik, die besagt, dass auf den Inhalt nicht zugegriffen werden kann, es sei denn, der Benutzer klickt auf die Schaltfläche „Inhalt aktivieren“. Letztes Jahr hat Microsoft damit begonnen, aus dem Internet heruntergeladene Makros standardmäßig zu deaktivieren.
Werbung
Vergrößern / Die Grafik, die unmittelbar nach dem Öffnen eines schädlichen Word-Dokuments erscheint. Es heißt, dass auf den Inhalt nicht zugegriffen werden kann, wenn nicht auf die Schaltfläche „Inhalt aktivieren“ geklickt wird.
Trend Micro
Durch Klicken auf die Schaltfläche „Inhalt aktivieren“ wird diese Standardeinstellung rückgängig gemacht und das Makro kann ausgeführt werden. Das Makro veranlasst Office, eine ZIP-Datei von einer legitimen Website herunterzuladen, die gehackt wurde. Office entpackt dann die Archivdatei und führt die aufgeblähte Emotet-DLL aus, die das Gerät infiziert.
Sobald sie das Gerät eines Opfers infiziert hat, stiehlt die Malware Passwörter und andere sensible Daten und verwendet das Gerät, um bösartigen Spam an andere Benutzer zu senden. Die Malware kann auch zusätzliche Malware wie die Ryuk-Ransomware oder die TrickBot-Malware herunterladen. Die Infektionskette sieht so aus:
Trend Micro
Die Liebe zum Detail, die in dieser neuesten Wiederbelebung zu sehen ist, ist das typische Emotet-Verhalten. Seit Jahren kopiert das Botnetz akribisch empfangene E-Mail-Konversationen von infizierten Computern und bettet sie in böswilligen Spam ein, der an andere Parteien im Thread gesendet wird. Indem Sie einer E-Mail von jemandem nachgehen, mit dem das Ziel in der Vergangenheit kommuniziert hat, hat die bösartige Spam-Nachricht eine bessere Chance, unentdeckt zu bleiben. Emotet kann sich auch Zugriff auf Wi-Fi-Netzwerke verschaffen und angeschlossene Geräte infizieren.
Mit der Rückkehr von Emotet sollten die Menschen nach bösartigen E-Mails Ausschau halten, selbst wenn sie scheinbar aus vertrauenswürdigen Quellen stammen, das Ziel beim Namen nennen und zuvor gesendete und empfangene E-Mails einbeziehen. Es gibt selten einen guten Grund, Makros in per E-Mail gesendeten Dokumenten zu aktivieren. Die Leute sollten sich weigern, ihnen die Ausführung zu gestatten, ohne vorher mit dem Absender per Telefon, Sofortnachricht oder einem anderen Medium als E-Mail kommuniziert zu haben.
Die Länder, die vom jüngsten Emotet-Lauf am stärksten betroffen sind, sind Europa, der asiatisch-pazifische Raum und Lateinamerika.
wpDiscuz