„Gefährlichste Schadsoftware“ ist zurück, neue Phishing-Wellen bereits angerollt

Zeitweise galt Emotet als gefährlichste Schadsoftware der Welt. Auch gut gesicherte Netze waren gegen das hinterhältige Dynamit-Phishing nicht geschützt.
Anfang 2021 gelang es mehreren Behörden die Server des Emotet-Netzwerks zu beschlagnahmen bevor sie Anfang April die Emotet-Schadprogramme von den infizierten Systemen löschten.
Aber jetzt begannen mit der Malware Trickbot infizierte Maschinen damit, neue Emotet-Varianten zu installieren.

DGata berichtet, dass bereits vergangenen Sonntag Trickbot-Drohnen angefangen haben, neu DLLs herunterzuladen – automatisierte Analyssysteme klassifizierten diese als Emotet.
Nach manuellen Analysen des Virenlabors steht fest: Es sieht aus wie Emotet und verhält sich wie Emotet – es ist wahrscheinlich Emotet.

Die Arbeitsweise und der Code der neuen Version sind den Emotet-Samples sehr ähnlich, allerdings gibt es einige Bot-Veränderungen.
Laut GData nutzen die Server nun https mit selbst signierten Zertifikaten zur Absicherung der Kommunikation. Zudem ist die Verschlüsselung zum Verstecken der Daten leicht verändert.

Bereits in der Vergangenheit haben die Drahtzieher von Emotet mit der Trickbot-Bande zusammengearbeitet.
Diese Trickbot-Bande blieb auch nach dem Schlag gegen Emotet aktiv. Innerhalb weniger Tage haben sie sich andere Lieferanten für Zugänge zu Firmennetzwerken gesucht und ein florierendes Geschäft a la „Ransomware as a Service“ aufgebaut.
Hier vermieten sie ihre Schadsoftware an aufstrebende Cybercrime-Banden. Und nun unterstützen sie scheinbar „Kumpel aus alten Zeiten“ wieder.

Das sogenannte Dynamit-Phishing war Emotets Spezialität: Sehr gut gemachte Phishing-Mails.
Hier haben potentielle Opfer personalisierte E-Mails von scheinbar Kollegen oder Geschäftspartnern erhalten, mit dem Ziel, den Empfänger der Mail zum Öffnen der angehängten Datei zu bewegen.

Nun senden auch die neuen Emotet-Drohnen wieder Malware-Spam per E-Mail.
Hier schicken die Bots speziell präparierte Dokumente als .docm, xlsm oder passwortgeschützte ZIPs an ausgewählte Ziele.

Sie wollen Ihre Server auch gegen Schadsoftware schützen?
Sprechen Sie uns an – als Partner von GData bieten wir Ihnen Awareness-Trainings für Ihre Mitarbeiter, zudem können wir Sie auch bei jeglichen Managed Services unterstützen!

 

Quellenangabe: https://www.heise.de/news/Totgesagte-leben-laenger-Emotet-ist-zurueck-6268241.html
Bildquelle: sergey nivens @stock.adobe