Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1757

Informationen zur Malware Emotet
(2019-06-25 16:15:21.32605+00)


Das RUS-CERT hat bereits im vergangenen Jahr vor E-Mails zur Verbreitung der Malware Emotet gewarnt. Emotet wird fortlaufend weiterentwickelt und verändert und daher automatisiert von AntiViren-Software oft nicht sofort erkannt. Wir geben einen kurzen Überblick.

Emotet ist eine Schadsoftware, die vor allem über E-Mails verbreitet wird. Die bösartigen E-Mails enthalten entweder einen infizierten Anhang in Form einer Datei mit Makros oder eines Skripts oder einen Link zu einer Internetseite, von der die Malware heruntergeladen wird. Häufig sind diese E-Mails als Rechnungen oder Bewerbungen getarnt, im Anhang oder hinter dem Link soll sich dann die jeweilige Rechnung oder die Bewerbungsunterlagen befinden. Öffnet der Empfänger den Anhang oder klickt auf den Link (und stimmt ggf. der Aktivierung von Makros zu), wird der Rechner infiziert.

Nach der Infektion lädt Emotet automatisch weiteren Schadcode aus dem Internet nach, der unter anderem dazu genutzt werden kann, die Kontaktdaten und bisherige Mail-Kommunikation aus Outlook oder vergleichbaren Programmen auszulesen und an die C&C-Server (Command & Control) zu schicken, die Accounts des Benutzers zu übernehmen sowie selbst mit dem Versand von E-Mails zur Verbreitung von Emotet zu beginnen.

Die ausgespähten Kontaktdaten und bestehende E-Mail-Konversationen werden genutzt, um vermeintliche Antworten auf diese Konversationen an die ursprünglichen Kommunikationspartner zu schicken mit dem Ziel, auch deren Rechner zu infizieren. Ein Beispiel, wie solche E-Mails aussehen können, hat der CERT-Bund auf Twitter veröffentlicht:

Dieses 'Recycling' der ausgespähten Konversationen erfolgt zwischenzeitlich sehr zeitnah, so dass man vermeintliche Antworten auf erst vor wenigen Tagen verschickte Mails erhalten kann. Dadurch wirken diese Mails zur Malware-Verbreitung (zumindest auf den ersten Blick) authentischer, da der Adressat die ursprüngliche Konversation wiedererkennt.

Aktuell erkennt man solche Mails meist noch am fehlerhaften Absender im FROM-Feld: Der angezeigte Name ist häufig der Name des vorgeblichen Absenders (im obigen Beispiel vom CERT-Bund 'Meier, Antje'), jedoch stimmt die E-Mail-Adresse nicht (hier 'compromised.account@extern.tld').

Daher gilt: Bei verdächtigen E-Mails, auch wenn es sich um Antworten auf eigene E-Mails handelt, empfiehlt es sich, im Zweifelsfall Rücksprache mit dem vermeintlichen Absender zu halten. Dies gilt inbesondere, bevor man etwaige Anhänge öffnet. Ist man sich sicher, dass es sich um eine bösartige E-Mail handelt, sollte diese gelöscht werden.

Weitere Information zu diesem Thema

(vw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1757