Gefährlicher Schläfer: Emotet erforscht neue Angriffswege

B2B Cyber Security ShortNews

Beitrag teilen

Im Jahr 2021 wurde das Netzwerk um Emotet zerschlagen. Aber das bedeutet nicht, dass Emotet völlig aus dem Netz verschwunden ist. Im Gegenteil: es gibt immer wieder Anzeichen dafür, dass die Gruppe um Emotet neue Angriffswege sucht.

Seit seiner Rückkehr tauchte Emotet in mehreren Spam-Kampagnen auf. Mealybug, die Hackergruppe hinter dem Botnetz, hat zahlreiche neue Module entwickelt und bestehende überarbeitet. Die Drahtzieher hinter Emotet haben aus dem Takedown vor zwei Jahren einiges gelernt und viel Zeit darin investiert, die Entdeckung ihres Botnetzes zu verhindern.

Anzeige

Emotets Infrastruktur ist tot – die Malware lebt

In seiner letzten Operation wurden Ziele in Italien, Spanien, Japan, Mexiko und Südafrika attackiert. Seit April 2023 sind die Aktivtäten von Emotet eingestellt. Die ESET Forscher vermuten, dass die Hacker nach neuen Angriffsvektoren suchen.

„Emotet verbreitet sich über Spam-Mails. Die Malware kann sensible Informationen von kompromittierten Computern stehlen und Malware von Drittanbietern auf diese übertragen. Die Betreiber von Emotet sind nicht sehr wählerisch, was ihre Ziele angeht. Sie installieren ihre Malware sowohl auf Systemen von Privatpersonen als auch von Unternehmen und größeren Organisationen“, sagt ESET-Forscher Jakub Kaloč, der an der Analyse mitgearbeitet hat.

Emotet musste neuen Angriffsvektor finden

Von Ende 2021 bis Mitte des Jahres 2022 verbreitete sich Emotet hauptsächlich über VBA-Makros in Microsoft Word- und Excel-Dokumenten. Im Juli 2022 änderte Microsoft die Spielregeln für alle Malware-Familien wie Emotet und Qbot – die Phishing-E-Mails mit bösartigen Dokumenten als Verbreitungsmethode verwendet hatten – indem es VBA-Makros in Dokumenten deaktivierte, die aus dem Internet bezogen wurden.

„Die Abschaltung des Hauptangriffsvektors von Emotet veranlasste seine Betreiber, nach neuen Wegen zu suchen, um ihre Ziele zu kompromittieren. Mealybug begann, mit bösartigen LNK- und XLL-Dateien zu experimentieren. Als das Jahr 2022 zu Ende ging, hatten die Betreiber von Emotet jedoch Schwierigkeiten, einen neuen Angriffsvektor zu finden, der so effektiv wie VBA-Makros ist. Im Jahr 2023 führten sie drei verschiedene Malspam-Kampagnen durch, die jeweils einen etwas anderen Weg des Eindringens und eine andere Social Engineering-Technik testeten“, erläutert Kaloč. „Der schrumpfende Umfang der Angriffe und die ständigen Änderungen des Ansatzes könnten jedoch auf Unzufriedenheit mit den Ergebnissen hindeuten.“ Später bettete Emotet einen Köder in Microsoft OneNote ein. Trotz der Warnungen beim Öffnen, dass diese Aktion zu bösartigen Inhalten führen könnte, klickten Nutzer darauf.

Kriminelle entwickeln Emotet weiter

Nach seinem Wiederauftauchen erhielt Emotet mehrere Upgrades. Die bemerkenswertesten Merkmale waren, dass das Botnet sein kryptografisches Schema änderte und mehrere neue Verschleierungen implementierte, um seine Module zu schützen. Die Betreiber von Emotet haben seit ihrer Rückkehr erhebliche Anstrengungen unternommen, um die Überwachung und Verfolgung ihres Botnets zu verhindern. Außerdem haben sie mehrere neue Module implementiert und bestehende Module verbessert, um profitabel zu bleiben.

Emotet wird über Spam-Mails verbreitet. Menschen vertrauen diesen Nachrichten oft, da die Kriminellen erfolgreich mit speziellen Techniken Gesprächsverläufe in E-Mails übernehmen. Vor dem Takedown verwendete Emotet Module, die wir Outlook Contact Stealer und Outlook Email Stealer nennen und die in der Lage waren, E-Mails und Kontaktinformationen aus Outlook zu stehlen. Da jedoch nicht jeder Outlook verwendet, konzentrierte sich Emotet nach der Rückkehr auch auf eine kostenlose alternative E-Mail-Anwendung: Thunderbird. Darüber hinaus begann es, das Google Chrome Credit Card Stealer Modul zu verwenden, das Informationen über Kreditkarten stiehlt, die im Google Chrome Browser gespeichert sind.

Laut ESET Telemetrie und dem Eindruck der Forscher ist es um die Emotet-Botnets seit Anfang April 2023 ruhig geworden. Das ist wahrscheinlich darauf zurückzuführen, dass ein neuer effektiver Angriffsvektor gefunden wurde. Die meisten der von ESET seit Januar 2022 bis heute entdeckten Angriffe zielten auf Japan (43 %), Italien (13 %), Spanien (5 %), Mexiko (5 %) und Südafrika (4 %) ab.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen

FortiOS und FortiProxy: Angriffe auf Zero-Day-Schwachstelle

Das BSI hat bereits die zweithöchste Warnstufe Orange für die aktiv ausgenutzten Schwachstellen in FortiOS und FortiProxy ausgegeben. Die Zero-Day-Schwachstelle ➡ Weiterlesen

Sicherheitsrisiken durch Mitarbeiterverhalten

Eine neue Untersuchung zeigt, dass Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssen. Der Grund: Viele ➡ Weiterlesen

Amazon-S3-Datensätze einfach zurücksetzen

Mit der neuen Funktionalität Clumio Backtrack von Commvault können Unternehmen in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte oder ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen

Hochgefährliche Schwachstellen in Firefox und Thunderbird 

Mozilla hat am 7. Januar 2025 mehrere Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, um Schwachstellen mit hoher Priorität zu beheben. ➡ Weiterlesen