Ransomware: Emotet kehrt zurück – als OneNote-E-Mail-Anhang

Die hochentwickelte Schadsoftware Emotet ist wieder aktiv. Sie findet in Form von bösartigen OneNote-Dateien ihren Weg in den E-Mail-Eingang potenzieller Opfer.
Phishing

Emotet ist zurück – mal wieder. Die Cybergang hinter der hoch entwickelten Schadsoftware ist bekannt für zwischenzeitliche, längere Pausen. Seit Monatsanfang jedoch gehen die Cyberkriminellen wieder auf Opfersuche. Die IT-Sicherheitsforscher von Cofense haben vor rund zwei Wochen beobachtet, dass Emotet wieder aktiv wird. Bösartige E-Mails mit unverschlüsselten ZIP-Dateien im Anhang seien in den Posteingängen gelandet.

 

Einfallstor für Emotet: bösartiger E-Mail-Anhang

Bei den E-Mails scheint es sich um Antworten auf bereits existierende E-Mail-Verläufe zu handeln, wie es bereits öfter bei Emotet zu beobachten war. Thematisch drehen sie sich meist um Finanzen und Rechnungen, erläutern die Cofense-Mitarbeiter.

Die bisher genutzten ZIP-Dateien benötigten kein Passwort zum Entpacken und enthielten Office-Dokumente mit bösartigen Makros; vor einer Ausführung müssten Empfänger jedoch "Inhalte aktivieren". Diese laden nach dem Start dann den Emotet-Schädling als .dll-Datei herunter. Einschätzungen zur Dauer der Kampagne konnten die IT-Forscher noch nicht abgeben, schreiben sie in einem Blog-Eintrag.

Um solche Hürden und Einschränkungen zu umgehen, setzen die Emotet-Drahtzieher jetzt auf OneNote-Dateianhänge in E-Mails, berichtet das Sicherheitsunternehmen Malwarebytes. Die OneNote-Datei ist einfach, aber dennoch effektiv beim Social Engineering. Sie enthält die falsche Benachrichtigung, der zufolge das Dokument geschützt sei. Wenn die Opfer auf die Schaltfläche "View" doppelt klicken, reicht das die Klicks stattdessen durch und startet ein eingebettetes Skript.

Dieses Skript sei stark verschleiert und lade den Emotet-Schädling aus dem Netz herunter. Auch in diesem Fall liegt die Schadsoftware als .dll-Datei vor und wird mittels regsvr32.exe gestartet. Sofern die Malware läuft, nimmt sie Kontakt mit ihren Command&Control-Servern auf und wartet auf Anweisungen von dort.

Microsoft hat die "OneNote-Lücke", durch die Malware sich leichter als etwa mit den Office-Makros einschleusen lässt, bereits erkannt. Das Unternehmen arbeitet inzwischen an besserem Schutz vor Phishing mittels OneNote-Dateianhängen.

 

Emotet: Eines der gefährlichsten Malware-Stücke

Seit 2018 bedroht Emotet Nutzer im Internet. Der Trojaner fährt zahlreiche Schadfunktionen auf. Wurde die Malware erst einmal gestartet, kann sie etwa weitere Trojaner nachladen, sich tief im Netzwerk einnisten und Hintertüren installieren. Um Opfer zum Ausführen der Malware zu bewegen, nutzen die Drahtzieher dahinter in der Regel gut gemachte betrügerische E-Mails. Etwa mittels Spearphishing gelangen sie zuvor an interne Informationen, die die Mails glaubwürdiger machen.

Anfang 2021 gelang Strafverfolgern ein großer Schlag gegen die Infrastruktur hinter Emotet. Es wurde daraufhin zunächst stiller um den Schädling, aber er erscheint in unregelmäßigen Abständen immer wieder erneut auf der Bildfläche.

 

Quelle: heise.de

< Zur vorherigen News - Alle News - Zur nächsten News >

Cookie Einstellungen

Wir setzen auf unserer Website Cookies ein. Einige von ihnen sind essenziell (z. B. für den Betrieb der Webseite oder zum Ausfüllen der Kontaktformulare), während andere uns helfen unser Onlineangebot zu verbessern und wirtschaftlich zu betreiben. Sie können diese akzeptieren oder per Klick auf die Schaltfläche "Einstellungen individuell anpassen" diese einstellen. Diese Einstellungen können Sie jederzeit aufrufen und Cookies auch nachträglich abwählen (z. B. im Fußbereich unserer Website). Bitte beachten Sie, dass auf Basis Ihrer Einstellungen womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen. Nähere Hinweise erhalten Sie in unserer Datenschutzerklärung.
Impressum Datenschutz
Einstellungen individuell anpassen
Alle akzeptieren

Cookie Einstellungen

Hier finden Sie eine Übersicht aller verwendeten Cookies. Sie können Ihre Zustimmung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.
Alle akzeptieren
Einstellungen speichern & schließen
Zurück
Essenziell (1)

Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.

Name
Drupal CMS
Anbieter
Drupal CMS
Zweck
Drupal verwendet diesen Cookie, um anzuzeigen, ob der Browser des Besuchers JavaScript aktiviert hat oder nicht.
Datenschutzerklärung
Cookie Name
hide_cookie
Laufzeit
Bis zum Beenden der Browsersitzung
Externe Medien (1)

Inhalte von Chatplatformen werden standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner manuellen Zustimmung mehr.

Akzeptieren
Name
Userlike
Anbieter
Userlike
Zweck
Wird verwendet, um Userlike LiveChat-Inhalte zu entsperren.
Datenschutzerklärung
https://www.userlike.com/de/terms#privacy-policy
Cookie Name
_infoserve_cookie_lc
Laufzeit
1 Monat

Hilfe per Livechat

Gerne helfen wir Ihnen per Livechat weiter. Dazu verwenden wir den Chat-Dienst Userlike. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Um den Chat nutzen zu können, akzeptieren Sie bitte die Cookies der Kategorie 'Externe Medien' .

Chat Button