Anzeige

Malware

Die Cyberkriminellen hinter dem Banking-Trojaner Emotet unternehmen viel, um mit verschiedensten Tricks Anti-Viren-Filter zu umgehen und die Malware auf noch mehr Systemen zu verbreiten. Von Email Conversation Thread Hijacking, über Änderungen der Webshells bis hin zum Update des Emotet-Loaders, was zu einem enormen Anstieg an Downloadzahlen der Malware führte.

Nun versendet Emotet erneut verschlüsselte Anhänge über seinen Malspam, um sein Botnet-Netzwerk weiter ausbauen.

Seit September beobachtet das Hornetsecurity Security Lab einen erheblichen Zuwachs an Emotet-Malspam, welcher wieder verschlüsselte Archiv-Dateien versendet. Das Passwort zur Entschlüsselung der Datei ist als Klartext im E-Mail Anschreiben enthalten. Durch die Verschlüsselung des Anhangs ist es herkömmlichen Anti-Viren-Programmen nicht möglich, das versteckte Schadprogramm zu entdecken und zu blockieren. Jedoch kann das Opfer die Datei entschlüsseln, öffnen und ausführen, wodurch die Malware schließlich nachgeladen wird.

Doch diese Methode ist nicht neu: Bereits im April 2019 entdeckten Security-Analysten erste Wellen des Emotet-Malspams mit verschlüsselten Zip-Dateien. Seitdem treten solche Spamwellen immer mal wieder verteilt über das Jahr auf und halten einige wenige Tage an. Als Operation „Zip Lock“ bezeichnet die White-Hat-Group „Cryptolaemus“ dieses Vorgehen der Akteure hinter Emotet. Das Team aus über 20 Security Forschern und System Administratoren hat sich als Ziel gesetzt, die Verbreitung der „gefährlichsten Malware der Welt“ einzudämmen. Täglich veröffentlicht die Gruppe sämtliche Updates von Emotet auf ihrer Website und dem Twitter-Account. Damit System- und Netzwerkadministratoren die sogenannten Indicators of compromise (IOCs), dazu gehören IP-Adressen für Emotet Befehlsserver, Betreffzeilen und Datei-Hashes von Emotet-infizierten Dateien, in ihren Security-Filtern eintragen und sich so vor möglichen Emotet-Infektionen schützen können.

Die aktuelle Malspam-Welle mit verschlüsselten Archiven sei nun bereits seit mindestens 1. September aktiv und zielte zuerst auf den japanisch-sprachigen Raum. Das Hornetsecurity Security Lab registrierte schließlich Spam-Wellen auf Spanisch, Englisch und Deutsch ab etwa dem 14. September.

Um die Chance noch weiter zu erhöhen, dass ihr Opfer die Schad-Mail beim Eintreffen im Postfach auch tatsächlich öffnet und den Anhang aktiviert, bedienen sich die Cyberkriminellen zusätzlich der „Email Conversation Thread Hijacking“ Technik. Dabei werden bereits bestehende E-Mail-Konversations-Threads des Opfers verwendet, um „authentischer“ zu wirken. Die Angreifer antworten dann auf bestehende Unterhaltungen, die ihr Angriffsziel in der Mailbox noch gespeichert hat.

Ein beliebter Cybercrime-Trend

Generell ist die E-Mail Angriffsmethode mit verschlüsselten Anhängen recht beliebt unter cyberkriminellen Gruppen. So entdeckten die Security-Analysten von Hornetsecurity auch in Malware-Kampagnen von GandCrab verschlüsselte Office-Dokumente und die Malware Ursnif verbreitet sich ebenfalls durch verschlüsselte Zip-Anhänge.

Wie kann man sich davor schützen?

Die verschlüsselten Emotet-Dateien werden bis heute nicht von herkömmlichen Antivirenprogrammen entdeckt, dass beweist der Malwarescanner Dienst VirusTotal.

Auch die Technik des Email Conversation Thread Hijacking trägt zum „Erfolg“ der Cyberkriminellen bei, denn für die Empfänger ist es kaum möglich, einen solchen Angriff zu erkennen, da die Schad-E-Mails von einem legitimen, aber kompromittierten Konto versendet werden.

Tiefergehende Filter und intelligente Security-Mechanismen sind jedoch in der Lage, beide dieser Angriffstechniken zu entdecken und diese vom Postfach des Empfängers fernzuhalten. Das Vorgehen der Cyberkriminellen hinter Emotet verdeutlicht, dass es auch für Unternehmen an der Zeit ist, den nächsten Schritt im Bereich der Cybersecurity zu gehen. Denn erfolgreiche Attacken treiben die Ambitionen der Hacker weiter an und bringen auch weitere Cyberkriminelle auf den Plan.

www.hornetsecurity.com
 


Artikel zu diesem Thema

Malware Alert
Okt 02, 2020

Emotet erreicht nun auch den US-Wahlkampf

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, hat eine…
Email Virus
Sep 01, 2020

Emotet meldet sich mit weiteren Sprachen und QBot-Malware zurück

Vor wenigen Wochen erst konnte Proofpoint die Rückkehr der Hackergruppe TA542 (Threat…
Emotet
Jul 21, 2020

Emotet ist zurück

Mehr als 160 Tage nach der letzten bekannten Verbreitung der Schadsoftware Emotet konnten…

Weitere Artikel

Hacker

Wie sich Hacker in der Pandemie Sozialleistungen erschleichen

Im Zuge von COVID-19 stellt der Staat zahlreiche finanzielle Hilfen für Unternehmen, Selbstständige und Familien bereit. Doch diese locken auch Betrüger und Cyberkriminelle an. In Deutschland fehlt häufig die nötige Infrastruktur zur Betrugsbekämpfung – auch…
CyberCrime

Die Pandemie des Internets: Rekordhoch des Bot-Traffics in 2020

Imperva, Inc., ein Unternehmen im Bereich Cybersecurity, mit dem Ziel, Daten und alle Zugriffswege auf diese zu schützen, verzeichnete im Jahr 2020 den höchsten Bad Bot-Traffic (25,6 %) seit der Einführung des Imperva Bad Bot Reports im Jahr 2014. Die…
Hackerangriff

Erkenntnisse aus Hunderten unterschiedlicher Hackerangriffe

FireEye, das Intelligence-basierte Sicherheitsunternehmen, hat den FireEye Mandiant M-Trends-Bericht 2021 veröffentlicht.
Facebook Datenleak

Facebook Datenleak: Das steckt hinter dem Angriff

Die persönlichen Daten von insgesamt 533 Millionen Facebook-Usern stehen derzeit auf diversen cyberkriminellen Foren im Dark Web zum kostenlosen Download. Wie konnte es zu dem Datenleak kommen? Wer steckt hinter dem Angriff? Und wie hoch ist das Risiko für…
Exploit

Bisher unbekannter Zero-Day-Exploit in Desktop Window Manager

Im Zuge der Analyse des bekannten Exploits CVE-2021-1732 der APT-Gruppe BITTER entdeckten die Experten von Kaspersky einen weiteren Zero-Day-Exploit im Desktop Window Manager. Bisher kann dieser nicht mit einem bekannten Bedrohungsakteur in Verbindung…
Malware

Malware-Angriffe: 648 neue Bedrohungen pro Minute

Für die April-Ausgabe des Quarterly Threats Reports untersuchten die McAfee Labs die Malware-Aktivitäten von Cyber-Kriminellen sowie die Entwicklung von Cyber-Bedrohungen im dritten und vierten Quartal 2020. Durchschnittlich registrierten die Forscher von…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.