„Gefährlichste Schadsoftware“ ist zurück, neue Phishing-Wellen bereits angerollt
Zeitweise galt Emotet als gefährlichste Schadsoftware der Welt. Auch gut gesicherte Netze waren gegen das hinterhältige Dynamit-Phishing nicht geschützt.
Anfang 2021 gelang es mehreren Behörden die Server des Emotet-Netzwerks zu beschlagnahmen bevor sie Anfang April die Emotet-Schadprogramme von den infizierten Systemen löschten.
Aber jetzt begannen mit der Malware Trickbot infizierte Maschinen damit, neue Emotet-Varianten zu installieren.
DGata berichtet, dass bereits vergangenen Sonntag Trickbot-Drohnen angefangen haben, neu DLLs herunterzuladen – automatisierte Analyssysteme klassifizierten diese als Emotet.
Nach manuellen Analysen des Virenlabors steht fest: Es sieht aus wie Emotet und verhält sich wie Emotet – es ist wahrscheinlich Emotet.
Die Arbeitsweise und der Code der neuen Version sind den Emotet-Samples sehr ähnlich, allerdings gibt es einige Bot-Veränderungen.
Laut GData nutzen die Server nun https mit selbst signierten Zertifikaten zur Absicherung der Kommunikation. Zudem ist die Verschlüsselung zum Verstecken der Daten leicht verändert.
Trickbot-Bande
Bereits in der Vergangenheit haben die Drahtzieher von Emotet mit der Trickbot-Bande zusammengearbeitet.
Diese Trickbot-Bande blieb auch nach dem Schlag gegen Emotet aktiv. Innerhalb weniger Tage haben sie sich andere Lieferanten für Zugänge zu Firmennetzwerken gesucht und ein florierendes Geschäft a la „Ransomware as a Service“ aufgebaut.
Hier vermieten sie ihre Schadsoftware an aufstrebende Cybercrime-Banden. Und nun unterstützen sie scheinbar „Kumpel aus alten Zeiten“ wieder.
Dynamit-Phishing
Das sogenannte Dynamit-Phishing war Emotets Spezialität: Sehr gut gemachte Phishing-Mails.
Hier haben potentielle Opfer personalisierte E-Mails von scheinbar Kollegen oder Geschäftspartnern erhalten, mit dem Ziel, den Empfänger der Mail zum Öffnen der angehängten Datei zu bewegen.
Nun senden auch die neuen Emotet-Drohnen wieder Malware-Spam per E-Mail.
Hier schicken die Bots speziell präparierte Dokumente als .docm, xlsm oder passwortgeschützte ZIPs an ausgewählte Ziele.
Sie wollen Ihre Server auch gegen Schadsoftware schützen?
Sprechen Sie uns an – als Partner von GData bieten wir Ihnen Awareness-Trainings für Ihre Mitarbeiter, zudem können wir Sie auch bei jeglichen Managed Services unterstützen!
Quellenangabe: https://www.heise.de/news/Totgesagte-leben-laenger-Emotet-ist-zurueck-6268241.html
Bildquelle: sergey nivens @stock.adobe