Malware-Bedrohung
Sicherheitsexperten entdecken neue Emotet-Angriffe
Foto: peter jesche - shutterstock.com
Das Sicherheitsforschungs-Team Cryptolaemus entdeckte vor kurzem einen Bug in der Emotet-Malware. Dieser führte dazu, dass die Dateianhänge der entsprechenden Mails fehlerhaft waren, so dass es bei deren Öffnung durch arglose Anwender nicht zur gewünschten Infektion kam. Doch die Hintermänner der Schadsoftware haben diesen Fehler mittlerweile ausgebügelt. Zudem haben sie sich neue Angriffstaktiken ersonnen, die nun offenbar getestet werden.
Zu diesem Ergebnis kommen die Experten des Security-Unternehmens Proofpoint, die derzeit neue, vom bisherigen Vorgehen abweichende Emotet-Aktivitäten beobachten. Sie stellten fest, dass die E-Mails der Angreifer nicht vom Emotet-Spam-Modul versendet wurden. Der Betreff der Mails sei einfach gehalten und enthalte nur ein Wort, zum Beispiel "Salary", so die Forscher.
Die Nachrichten selbst bestehe ausschließlich aus einer OneDrive-URL, keinen anderen Inhalt. Hinter dem Link verbergen sich Zip-Dateien mit Microsoft-Excel-Add-in-Dateien (XLL). Nach den Angaben der Sicherheitsexperten verwenden die Angreifer für die Zip- und XLL-Dateien die gleichen Begriffe wie in den Betreffzeilen, zum Beispiel "Salary_new.zip" oder "Salary_and_bonuses-04.01.2022.xll". "Sobald die XLL-Dateien geöffnet werden, wird Emotet unter Ausnutzung des Epoch-4-Botnets heruntergeladen und ausgeführt", erklären die Proofpoint-Experten.
Die Merkmale der neuen Emotet-Angriffsmethode
Den Experten zufolge unterscheiden sich die neuen Emotet-Aktivitäten von ihren Vorgängern durch folgende Aspekte:
Geringes Volumen: Normalerweise wird Emotet im Rahmen hochvolumiger E-Mail-Kampagnen verbreitet, die an viele Unternehmen weltweit versendet werden, wobei einige Kampagnen in den letzten Wochen insgesamt eine Million Nachrichten umfassten. Neuerdings sind die Verteiler viel kleiner.
Die Verwendung von OneDrive-URLs. In der Regel wird Emotet über Microsoft-Office-Anhängen oder URLs, die zu kompromittierten Websites führen, verbreitet. Diesmal wählen die Angreifer Microsofts Cloud- und File-Sharing-Dienst OneDrive.
Die Verwendung von XLL-Dateien. Bislang wurden zur Verbreitung von Emotet Microsoft Excel- oder Word-Dokumente genutzt, die VBA- oder XL4-Makros enthielten. XLLs sind eine Art Dynamic-Link-Library-Dateien (DLL) für Excel. Sie dienen dazu, die Funktionalität der Anwendung zu erweitern.
Fazit
Obwohl es Strafverfolgern Anfang 2021 gelungen ist, die ursprüngliche Infrastruktur von Emotet zu zerschlagen, ist die Malware weiterhin im Umlauf. Laut einer Analyse des Sicherheitsunternehmens Check Point ist Emotet sogar wieder auf Platz eins des Malware-Rankings geklettert.
"Nach Monaten gleichbleibender Aktivität ändert Emotet seine Vorgehensweise. Es ist wahrscheinlich, dass die Hintermänner neue Verhaltensweisen in kleinem Maßstab testen, bevor sie diese auf breiterer Basis einsetzen, oder dass sie diese über neue Techniken, Taktiken und Prozeduren (TTPs) parallel zu ihren bestehenden groß angelegten Kampagnen verbreiten", warnt Sherrod de Grippo, Vice President Threat Research and Detection bei Proofpoint. Unternehmen sollte diese neue Vorgehensweise bewusst sein und sie sollten sicherstellen, dass sie auch entsprechende Schutzmaßnahmen ergreifen.
Lesetipps: 140.000 Opfer in zehn Monaten - Trickbot erweckt Emotet zu neumem Leben
Security-Evangelist im Interview - "Auf die richtige Fehlerkultur kommt es an"
G-Data-Analyse - Die Top 10 der gefährlichsten Malware-Bedrohungen