Neue Phishing-Kampagnen
Emotet kehrt zurück
Foto: peter jesche - shutterstock.com
Wer kennt und fürchtet sie nicht: die Malware Emotet. Weltweit hat sich das Schadprogramm einen Namen gemacht, indem es sich über Word- und Excel-Dokumente in E-Mail-Anhängen verbreitet. Öffneten Nutzer diese Dokumente, wurde Emotet heruntergeladen. Einmal geladen, stiehlt die Malware die E-Mails und Kontaktlisten der Opfer, um sie für künftige Angriffe zu nutzen, oder lädt weitere Schadprogramme. Nun ist die Malware wieder im Umlauf.
Jetzt kostenlos für den CSO-Newsletter anmelden
Emotet kehrt nach Pause zurück
Bis heute gilt Emotet als die am weitesten verbreitete Malware, wobei sich die Ausbreitung in den vergangenen zwei Jahren verlangsamt hat. Medienberichten zufolge fand die letzte Spam-Aktion im November 2022 statt. Allerdings konnte die Angriffskampagne innerhalb von zwei Wochen gestoppt werden. Doch nun warnen das Cybersicherheitsunternehmen Cofense sowie eine Gruppe Cyberanalysten namens "Cryptolaemus", die die Malware seit Langem verfolgt, davor, dass das Emotet-Botnetz erneut E-Mails versendet.
??Emotet Awakens?? As of 1200UTC Ivan finally got E4 to send spam. We are seeing Red Dawn templates that are very large coming in at over 500MB. Currently seeing a decent flow of spam. Septet of payload URLs and ugly macros. Sample: https://t.co/fWZ8n3PlFi 1/3 pic.twitter.com/r5uuiECWnp
— Cryptolaemus (@Cryptolaemus1) March 7, 2023
"Das Volumen ist derzeit noch gering, da die Malware weiterhin neue Anmeldedaten und Adressbücher sammelt, um diese zu nutzen", sagen die Analysten von Cofense gegenüber BleepingComputer. In der aktuellen Kampagne versenden die Bedrohungsakteure E-Mails, die vorgeben legitime Rechnungen zu enthalten. Wie BleepingComputer berichtet, hängen diesen Nachrichten ZIP-Dateien an, die wiederum Word-Dokumente enthalten, die über 500 MB groß sind. Diese würden mit ungenutzten Daten aufgefüllt, um sie möglichst groß und somit für Antivirenlösungen schwer scanbar zu machen.
Lesetipp: Die Psychotricks der Spear-Phishing-Betrüger
Emotet wechselt zu Microsoft OneNote
Im Juli 2022 deaktivierte Microsoft standardmäßig die Makros in Office-Dokumenten, die aus dem Internet heruntergeladen werden. Dieser Schritt hat die Sicherheit für User erhöht. Makros können zwar zeitaufwändige Aufgaben automatisieren, indem Tastaturanschläge und Mausklicks aufgenommen und gespeichert werden, Hacker können sie jedoch für ihre Zwecke manipulieren und missbrauchen. Seit der Änderungen von Microsoft erhalten Nutzer, die ein Emotet-Dokument öffnen die Meldung, dass die Makros deaktiviert sind, weil die Quelle der Datei nicht vertrauenswürdig ist.
Allerdings konnte dies die Cyberkriminellen nicht lange aufhalten. Stattdessen haben sie damit begonnen, Emotet über OneNote-Anhänge zu verbreiten. Eine solche Spam-Kampagne hat zuerst der Sicherheitsforscher abel entdeckt.
3?16?6?15????Emotet?????????????????????
— abel (@abel1ma) March 15, 2023
epoch4
???.one????(OneNote)https://t.co/VY0eAqummihttps://t.co/V7GpyxECpv pic.twitter.com/RsjKeAn5sQ
Wie BleepingComputer berichtet, geben sich diese E-Mails als Leitfäden, Anleitungen, Rechnungen und Arbeitszeugnisse aus. Ihnen angehängt sind OneNote-Dokumente. Die Empfänger werden aufgefordert per Doppelklick auf die Schaltfläche "Ansicht" das Dokument zu öffnen. Hinter dieser Schaltfläche haben die Hacker eine VBScript-Datei namens "click.wsf" versteckt. Beim Klicken wird eine Dynamic Link Library von einer wahrscheinlich kompromittierten Webseite heruntergeladen und ausgeführt.
Zwar gibt OneNote daraufhin eine Warnung aus, dass jemand versucht, eine eingebettete Datei in OneNote zu starten, doch die meisten Nutzer klicken ohne weiter darüber nachzudenken auf "OK", um die Meldung loszuwerden. Nun läuft Emotet unauffällig auf dem Gerät, stiehlt E-Mails, Kontaktdaten und wird weitere Befehle vom Command and Control Server entgegennehmen.
Da OneNote, ähnlich wie Word und Excel, mittlerweile zu einem großen Problem bei der Verbreitung von Malware geworden ist, plant Microsoft neue Schutzfunktionen gegen Phishing. Bisher gibt es jedoch keine offizielle Ankündigung, wann diese verfügbar sein werden. Bis dahin können Windows-Administratoren Gruppenrichtlinien zum Schutz vor schädlichen OneNote-Dateien konfigurieren. Damit können sie eingebettete Dateien in OneNote entweder vollständig blockieren oder die Ausführung bestimmter Dateierweiterungen blockieren.
Lesetipp: So phishen Sie richtig