{"id":237129,"date":"2020-11-01T00:39:48","date_gmt":"2020-10-31T23:39:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237129"},"modified":"2023-09-02T10:23:19","modified_gmt":"2023-09-02T08:23:19","slug":"emotet-malware-als-vermeintliches-word-update-getarnt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/01\/emotet-malware-als-vermeintliches-word-update-getarnt\/","title":{"rendered":"Emotet Malware als vermeintliches Word-Update getarnt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/11\/01\/emotet-malware-als-vermeintliches-word-update-getarnt\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Kleine Warnung an Leser\/innen: Die Hinterm\u00e4nner der Emotet-Malware verteilen neuerdings dieses Schadprogramm \u00fcber einen Mail-Anhang, der als vermeintliches Word-Update daher kommt. Auch das Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) warnt vor zunehmenden Cyber-Angriffen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/758ae4712454433bbae03c7cbfade744\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/de.wikipedia.org\/wiki\/Emotet\" target=\"_blank\" rel=\"noopener noreferrer\">Emotet<\/a> ist eine Malware-Familie, die \u00fcber E-Mails verbreitet wird und in der Regel in Word-Dokumenten mit b\u00f6sartigen Makros enthalten ist. Wenn diese Dokumente ge\u00f6ffnet werden, versucht ihr Inhalt, den Benutzer dazu zu verleiten, Makros zu aktivieren, so dass die Emotet-Malware heruntergeladen und auf dem Computer installiert wird. Die Malware kann unterschiedliche Schadfunktionen ausliefern, wobei meist eine Infektion mit Ransomware zur Verschl\u00fcsselung der Daten samt L\u00f6segeldforderung erfolgt. Als Absender dieser Mails fungieren oft bekannte Kontakte des Empf\u00e4ngers, da Emotet die Kontaktlisten auf infizierten Systemen f\u00fcr den Mail-Versand verwendet.<\/p>\n<h2>Emotet als Word-Update getarnt<\/h2>\n<p>Die Cyber-Kriminellen der Emotet-Gruppe haben seit einer Woche die Strategie zur Verbreitung der Malware ge\u00e4ndert und verteilen eine neue Nachricht samt Anhang, die\u00a0 vorgibt, von Microsoft zu stammen. Die Nachricht besagt, dass Microsoft Word aktualisiert werden muss, um eine neue Funktion hinzuzuf\u00fcgen.<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/H1gDlqY.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img decoding=\"async\" title=\"Emotet-Malware als Word-Update getarnt\" src=\"https:\/\/i.imgur.com\/H1gDlqY.jpg\" alt=\"Emotet-Malware als Word-Update getarnt\" \/><\/a><\/p>\n<p>Darauf weist unter anderem obiger <a href=\"https:\/\/i.imgur.com\/H1gDlqY.jpg\" target=\"_blank\" rel=\"noopener noreferrer\">Tweet<\/a> von Bleeping Computer hin. Die Hinterm\u00e4nner verwenden eine ganze Reihe an K\u00f6dern in ihrer Mail, wie in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/emotet-malware-now-wants-you-to-upgrade-microsoft-word\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> dargelegt wird. Das reicht von vermeintlichen Informationen \u00fcber COVID-19 \u00fcber angebliche Bestellungen bis hin zu vorgeblichen Rechnungen und Bewerbungen. Und neuerdings halt vorgebliche Word-Updates. Auf Twitter hat Microsoft in <a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1322279993964077056\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Tweet<\/a> Beispiele solcher Mails (<a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1322535332022288387\" target=\"_blank\" rel=\"noopener noreferrer\">auch zu Halloween<\/a>), aber auch den nachfolgenden Screenshot, gepostet.<\/p>\n<p><img decoding=\"async\" title=\"Emotet als Word-Update\" src=\"https:\/\/i.imgur.com\/Mj5btzy.jpg\" alt=\"Emotet als Word-Update\" \/><\/p>\n<p>Der Anhang ist ein Word-Dokument, das ein b\u00f6sartiges Makro enth\u00e4lt. In der Mail wird der Nutzer zum Upgrade von Microsoft Word aufgefordert und Links fordern zur Freigabe der Dokumentbearbeitung (Enable Editiing soll die Makrobearbeitung aktivieren) und zum Upgrade (Enable Content l\u00e4dt das Makro) auf. Wird das Makro aktiviert und ausgef\u00fchrt, stellt es eine Verbindung zu einer b\u00f6sartigen Dom\u00e4ne her, um die Emotet-Payload herunterzuladen.<\/p>\n<p>Vor Emotet hatte ich hier im Blog ja bereits h\u00e4ufiger gewarnt, geh\u00f6rt diese Schadsoftware doch zu den erfolgreichsten Erpressungstrojanern, die aktuell aktiv sind. Im Jahresbericht des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) wird auch vor Emotet gewarnt. Die Cyber-Sicherheitslage in Deutschland wird als 'angespannt' bezeichnet, da es Hackerangriffe auf kritische Infrastrukturen wie Kraftwerke, Krankenh\u00e4user oder den Finanzmarkt gab. Die FAZ hat den Bericht und seine Kerndaten in <a href=\"https:\/\/www.faz.net\/aktuell\/wirtschaft\/digitec\/bsi-lagebericht-warnt-vor-emotet-und-ransomware-17010858.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> aufbereitet.<\/p>\n<p>Vom BSI gibt es <a href=\"https:\/\/web.archive.org\/web\/20210129203508\/https:\/\/www.bsi-fuer-buerger.de\/BSIFB\/DE\/Service\/Aktuell\/Informationen\/Artikel\/emotet.html\" target=\"_blank\" rel=\"noopener noreferrer\">diese Internetseite<\/a> mit Ratschl\u00e4gen, wie man sich vor Emotet sch\u00fctzen kann und was man zu tun hat, wenn doch eine Emotet-Infektion erfolgt ist.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2020\/03\/02\/cryptolaemus-und-der-kampf-gegen-emotet\/\">Cryptolaemus und der Kampf gegen Emotet<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/08\/17\/emocrash-impfschutz-vor-emotet-infektionen\/\">EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/11\/warnung-vor-neuer-emotet-ransom-welle-sept-2020\/\">Warnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/08\/09\/emotet-wtet-bei-der-studienstiftung-des-deutschen-volkes\/\">Emotet w\u00fctet bei der Studienstiftung des deutschen Volkes<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/08\/02\/emotet-trojaner-ransomware-weiter-aktiv\/\">Emotet-Trojaner\/Ransomware weiter aktiv<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/07\/18\/microsoft-warnt-vor-massiver-emotet-kampagne\/\">Microsoft warnt vor massiver Emotet-Kampagne<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/04\/05\/emotet-kann-computer-im-netzwerk-berhitzen\/\">Emotet-Trojaner kann Computer im Netzwerk \u00fcberlasten<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2019\/10\/02\/emotet-trojaner-befall-in-berliner-oberlandesgericht\/\">Emotet-Trojaner-Befall in Berliner Oberlandesgericht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/09\/27\/emotet-infektion-an-medizinische-hochschule-hannover\/\">Emotet-Infektion an Medizinischer Hochschule Hannover<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/09\/10\/emotet-cc-server-liefern-neue-schadsoftware-aus\/\">Emotet C&amp;C-Server liefern neue Schadsoftware aus\u2013Neustadt gerade infiziert<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/11\/emotet-trojaner-bei-heise-troy-hunt-verkauft-website\/\">Emotet-Trojaner bei heise, Troy Hunt verkauft Website<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/10\/14\/emotet-zielt-auf-banken-in-dach\/\">Emotet zielt auf Banken in DACH<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/08\/23\/ransomware-befall-in-drk-einrichtungen-einfallstor-bekannt\/\">Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2019\/09\/27\/die-it-notfallkarte-des-bsi-fr-kmus\/\">Die IT-Notfallkarte des BSI f\u00fcr KMUs<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/12\/07\/faq-reagieren-auf-eine-emotet-infektion\/\">FAQ: Reagieren auf eine Emotet-Infektion<\/a>'<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kleine Warnung an Leser\/innen: Die Hinterm\u00e4nner der Emotet-Malware verteilen neuerdings dieses Schadprogramm \u00fcber einen Mail-Anhang, der als vermeintliches Word-Update daher kommt. Auch das Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) warnt vor zunehmenden Cyber-Angriffen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-237129","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237129","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237129"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237129\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237129"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237129"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237129"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}