[English]Kleine Warnung an Leser/innen: Die Hintermänner der Emotet-Malware verteilen neuerdings dieses Schadprogramm über einen Mail-Anhang, der als vermeintliches Word-Update daher kommt. Auch das Bundesamts für Sicherheit in der Informationstechnik (BSI) warnt vor zunehmenden Cyber-Angriffen.
Anzeige
Emotet ist eine Malware-Familie, die über E-Mails verbreitet wird und in der Regel in Word-Dokumenten mit bösartigen Makros enthalten ist. Wenn diese Dokumente geöffnet werden, versucht ihr Inhalt, den Benutzer dazu zu verleiten, Makros zu aktivieren, so dass die Emotet-Malware heruntergeladen und auf dem Computer installiert wird. Die Malware kann unterschiedliche Schadfunktionen ausliefern, wobei meist eine Infektion mit Ransomware zur Verschlüsselung der Daten samt Lösegeldforderung erfolgt. Als Absender dieser Mails fungieren oft bekannte Kontakte des Empfängers, da Emotet die Kontaktlisten auf infizierten Systemen für den Mail-Versand verwendet.
Emotet als Word-Update getarnt
Die Cyber-Kriminellen der Emotet-Gruppe haben seit einer Woche die Strategie zur Verbreitung der Malware geändert und verteilen eine neue Nachricht samt Anhang, die vorgibt, von Microsoft zu stammen. Die Nachricht besagt, dass Microsoft Word aktualisiert werden muss, um eine neue Funktion hinzuzufügen.
Darauf weist unter anderem obiger Tweet von Bleeping Computer hin. Die Hintermänner verwenden eine ganze Reihe an Ködern in ihrer Mail, wie in diesem Artikel dargelegt wird. Das reicht von vermeintlichen Informationen über COVID-19 über angebliche Bestellungen bis hin zu vorgeblichen Rechnungen und Bewerbungen. Und neuerdings halt vorgebliche Word-Updates. Auf Twitter hat Microsoft in diesem Tweet Beispiele solcher Mails (auch zu Halloween), aber auch den nachfolgenden Screenshot, gepostet.
Anzeige
Der Anhang ist ein Word-Dokument, das ein bösartiges Makro enthält. In der Mail wird der Nutzer zum Upgrade von Microsoft Word aufgefordert und Links fordern zur Freigabe der Dokumentbearbeitung (Enable Editiing soll die Makrobearbeitung aktivieren) und zum Upgrade (Enable Content lädt das Makro) auf. Wird das Makro aktiviert und ausgeführt, stellt es eine Verbindung zu einer bösartigen Domäne her, um die Emotet-Payload herunterzuladen.
Vor Emotet hatte ich hier im Blog ja bereits häufiger gewarnt, gehört diese Schadsoftware doch zu den erfolgreichsten Erpressungstrojanern, die aktuell aktiv sind. Im Jahresbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird auch vor Emotet gewarnt. Die Cyber-Sicherheitslage in Deutschland wird als 'angespannt' bezeichnet, da es Hackerangriffe auf kritische Infrastrukturen wie Kraftwerke, Krankenhäuser oder den Finanzmarkt gab. Die FAZ hat den Bericht und seine Kerndaten in diesem Artikel aufbereitet.
Vom BSI gibt es diese Internetseite mit Ratschlägen, wie man sich vor Emotet schützen kann und was man zu tun hat, wenn doch eine Emotet-Infektion erfolgt ist.
Ähnliche Artikel:
Cryptolaemus und der Kampf gegen Emotet
EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate
Warnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)
Emotet wütet bei der Studienstiftung des deutschen Volkes
Emotet-Trojaner/Ransomware weiter aktiv
Microsoft warnt vor massiver Emotet-Kampagne
Emotet-Trojaner kann Computer im Netzwerk überlasten
Emotet-Trojaner-Befall in Berliner Oberlandesgericht
Emotet-Infektion an Medizinischer Hochschule Hannover
Emotet C&C-Server liefern neue Schadsoftware aus–Neustadt gerade infiziert
Emotet-Trojaner bei heise, Troy Hunt verkauft Website
Emotet zielt auf Banken in DACH
Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt
Die IT-Notfallkarte des BSI für KMUs
FAQ: Reagieren auf eine Emotet-Infektion'
Anzeige
Emotet wird oft als besonders "raffinierte" malware beschrieben, aber meistens ist es eine
– docx mit VBA
– ruft Powershell auf
– Powershell lädt daas Virus (*.exe) von einer von 7 url's nach
Da die Datei aus dem Netz kommt, fügt MS einen ADS mit "Zone 3" und der url an.
An jedem dieser Punkte könnte MS besser prüfen und die Ausführung blockieren.
Da doxc mit VBA nur durch Manipulation der Zip-Sturktur möglich ist, sollte das gut zu prüfen sein.
(PS: wer den hash mit einer Blacklist vergleicht, ist gedanklich noch im letzten Jahrtausend)
Ist es tatsächlich möglich, ein DOCX mit VBA-Code zu versehen, so dass Word den VBA-Code (evtl. erst nach Rückfrage) beim Öffnen der DOCX-Datei ausführt?
Ein simples Erstellen eines DOCM, das also VBA-Code enthält, und anschließendes Umbenennen in DOCX reicht nicht, wenn ich das nach einem kurzen Test richtig sehe.