Skip to main content

Das Team der PSW Group
© PSW Group

PSW GROUP warnt

Schadsoftware Emotet ist zurück

Der Trojaner hat dazugelernt und kann E-Mail Inhalte von infizieren Rechnern auslesen

Emotet ist zurück: Wie Phoenix aus der Asche kehrt der Trojaner nach knapp fünfmonatiger Pause wieder zurück. Wieder gab es eine Welle an Spam-Mails und Emotet-Aktivitäten. Darauf machen die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de) aufmerksam: „Seit Mitte Juli gehen vom Botnetz Emotet nach gut fünfmonatiger Pause Angriffswellen aus. Die Ziele lagen bislang vorwiegend in den USA sowie im Vereinigten Königreich.

Die Opfer des Trojaners erhalten eine E-Mail mit Links oder Word-Dokumenten sowie der Bitte, diese zu öffnen. Erlaubt der Rechner des Opfers Makros, so aktiviert dies die in den Dokumenten enthaltenen Makros, deren Ausführung für die Installation von Emotet sorgt“, sagt Patrycja Tulinska, Geschäftsführerin der PSW GROUP. Um die Opfer zu verführen, Links und Anhänge anzuklicken, müssen die E-Mails entsprechend echt aussehen. Und genau hier hat Emotet stark dazugelernt: Der Trojaner hat die Fähigkeit, aus den E-Mail-Programmen infizierter Rechner neben Kontaktinformationen sowie –beziehungen auch Inhalte von Nachrichten auszulesen.

In der Folge sind die Angreifer in der Lage, täuschend echt wirkende Antworten auf Nachrichten zu geben, die die Nutzer tatsächlich versendet haben. Den E-Mail-Empfänger zur Aktivierung von Makros zu bewegen ist da nur noch ein kleiner Schritt. In der Vergangenheit hat Emotet Daten verschlüsselt. Bislang ist unklar, welche Schadsoftware durch Emotet nun im Rahmen der neuen Welle konkret auf infizierten Rechnern installiert werden. „In den E-Mails angehängten Dokumenten befinden sich offenbar neue URLs. Diese verweisen auf gehackte WordPress-Sites. Auf solchen Zielseiten werden verschiedene Informationen angezeigt, etwa, dass es nicht möglich sei, das Dokument ordnungsgemäß zu öffnen. Klicken Nutzer auf derartige Nachrichten, könnte das Tür und Tor für den Trojaner öffnen“, erläutert Tulinska.

Ist Emotet erst einmal auf einem System, werden Schadprogramme wie Trickbot nachgeladen. Mithilfe dieser können Passwörter, aber auch SSH-Keys oder Cookies gestohlen werden. Hinzu kommt die Tatsache, dass sich Emotet im Netzwerk immer weiter verbreitet. Die Sicherheitsforscher von Malwarebytes attestieren Emotet vor allem dann Gefährlichkeit, wenn er sich mit anderen Schädlingen verbündet, um etwa Ransomware auf die Systeme zu schleusen. „Wir müssen davon ausgehen, auch in Zukunft immer wieder von Emotet in neuen Varianten zu hören“, vermutet Tulinska und fährt fort: „Der Trojaner zeigt, dass das Wettrennen zwischen der IT-Sicherheitsbranche und Cyberkriminellen Realität ist und bleiben wird. Deshalb kann ich nur jedem dringend ans Herz legen, sich und seine IT-Infrastruktur zu schützen.“

Zu den wichtigsten Maßnahmen zählen dabei unter anderem Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme zügig zu installieren, eine im Unternehmen zentral administrierte Anti-Viren Software einzusetzen, eine regelmäßige mehrstufige Datensicherung durchzuführen, auf ein automatisiertes Monitoring inklusive Alarm bei Anomalien zu setzen und ein Berechtigungsmanagement einzuführen, bei dem Angestellte nur Zugang zu Anwendungen oder Konten bekommen, die zu ihrer Aufgabenerfüllung wirklich notwendig sind und nicht benötige Zugänge oder Software zu deinstallieren.

Die Verschlüsselung der E-Mail-Kommunikation verhindert zudem das Ausspähen der E-Mail-Inhalte. Wer durchgängig auf digitale Signaturen setzt, dem gelingt die Validierung bekannter E-Mail-Absender.
Weitere Informationen unter: https://www.psw-group.de/blog/emotet-trojaner-kehrt-zurueck/7645

-PM PSW Group-