Emotet taucht nach fast einem Jahr auf dem Rücken von TrickBot wieder auf

  • Forscher haben beobachtet, wie das Emotet-Botnetz – die “gefährlichste Malware der Welt” – wiedergeboren wurde und von dem Trojaner verbreitet wird, den es einst lieferte.

    Forscher haben herausgefunden, dass Emotet, eines der produktivsten und störendsten Botnet-Malware-Verbreitungssysteme, nach fast einem Jahr Inaktivität ein Comeback zu feiern scheint.

    Ein Team von Forschern von Cryptolaemus, G DATA und AdvIntel hat vor kurzem beobachtet, wie der Trojaner TrickBot einen neuen Loader für die berüchtigte Malware zu starten scheint, wie sie separat auf Twitter und in einem Blog-Post mitteilten.

    “Wir haben Grund zu der Annahme, dass #Emotet wieder aktiv ist und derzeit über #Trickbot verbreitet wird”, schrieb G DATA Advanced Analytics in seinem Twitter-Feed.

    Registrieren Sie sich jetzt für unsere LIVE-Veranstaltung!

    “2021-11-14: Das Programm ‘#Emotet partner ($) loader’ scheint sich zu regenerieren [SIC] aus bestehenden #TrickBot-Infektionen”, bestätigte AdvIntel-CEO Vitali Kremez ebenfalls via Twitter. “TrickBot hat etwas gestartet, das anscheinend der neuere Emotet-Loader ist.

    Ein Blogbeitrag von Forschern bei G DATA enthält die detailliertesten Informationen über den Vorfall. Darin wird erklärt, dass die Forscher am Sonntag gegen 9:26 UTC auf mehreren TrickBot-Trackern den Versuch beobachteten, eine DLL auf das System herunterzuladen, schrieb Luca Ebach von G DATA.

    “Nach internen Untersuchungen wurden diese DLLs als Emotet identifiziert”, schrieb er.

    Da Emotet Anfang des Jahres von internationalen Strafverfolgungsbehörden weitgehend zerlegt wurde, waren die Forscher “misstrauisch über die Ergebnisse” und führten weitere Überprüfungen der Aktivitäten durch. Nachdem sie dies getan hatten, sagten sie mit “hohem Vertrauen”, dass “die Proben tatsächlich eine Reinkarnation des berüchtigten Emotet zu sein scheinen”, aber sie werden weitere Analysen durchführen, schrieb Ebach.

    Entwicklung einer Cyberbedrohung

    Emotet begann 2014 als Banking-Trojaner und hat sich kontinuierlich zu einem Full-Service-Bedrohungsmechanismus weiterentwickelt. Er kann eine Reihe von Schadprogrammen auf den Rechnern der Opfer installieren, darunter Informationsdiebe, E-Mail-Harvester, Selbstverbreitungsmechanismen und Ransomware, wobei letztere ein Rekordvolumen erreicht hat und derzeit die Cyberbedrohung darstellt, die den internationalen Strafverfolgungsbehörden am meisten Sorgen bereitet.

    Emotet wurde zuletzt im Dezember 2020 vor den Weihnachtsfeiertagen mit einem Volumen von 100.000 Zielpostfächern pro Tag gesehen, um TrickBot, Qakbot und Zloader zu verbreiten. Davor hatte es im Oktober Freiwillige des Demokratischen Nationalkomitees (DNC) ins Visier genommen; zuvor war es im Juli desselben Jahres nach einer fünfmonatigen Unterbrechung aktiv geworden und hatte den Trojaner TrickBot abgesetzt.

    Emotet wurde offenbar durch eine internationale Zusammenarbeit der Strafverfolgungsbehörden bei der Zerschlagung eines Netzwerks aus Hunderten von Botnet-Servern, die das System im Januar 2021 unterstützten, außer Gefecht gesetzt. Dadurch wurden aktive Infektionen auf mehr als 1 Million Endpunkten weltweit beseitigt, hieß es.

    Jetzt scheint es wieder aufgetaucht zu sein, und zwar mit Hilfe des vertrauten Partners TrickBot, mit dem die beiden schon lange zusammenarbeiten. Oft war es Emotet, das sein riesiges Netzwerk nutzte, um TrickBot als Nutzlast in gezielten E-Mail-Phishing-Kampagnen auszuliefern, obwohl TrickBot in der Vergangenheit auch Emotet-Samples auslieferte – was anscheinend auch diesmal der Fall ist.

    Die Forscher haben die Ähnlichkeiten zwischen früheren Emotet-Samples und dem Sample, das am Sonntag von TrickBot verbreitet wurde, detailliert beschrieben. Ein Merkmal ist, dass der von der Probe ausgehende Netzwerkverkehr dem von Kaspersky Labs beschriebenen Emotet-Verhalten sehr ähnlich ist, schrieb Ebach.

    “Die URL enthält einen zufälligen Ressourcenpfad, und der Bot überträgt die Nutzlast der Anfrage in einem Cookie”, schrieb er. “Die Verschlüsselung, die zum Verstecken der Daten verwendet wird, scheint jedoch anders zu sein, als in der Vergangenheit beobachtet. Außerdem verwendet das Beispiel jetzt HTTPS mit einem selbstsignierten Serverzertifikat, um den Netzwerkverkehr zu sichern.

    Ein weiteres “bemerkenswertes Merkmal” von Emotet war “die starke Verwendung von Kontrollflussverflachung, um den Code zu verschleiern”, so Ebach. Das aktuelle Beispiel enthält ebenfalls abgeflachte Kontrollflüsse, sagte er.

    Phishing-Angriff im Anmarsch?

    Diese Nachricht jagt Sicherheitsexperten bereits einen Schauer über den Rücken, denn sie sind nicht überrascht, dass Emotet wieder aufgetaucht ist, sondern kennen die Störungen, die es anrichten kann, wenn es seine volle Kraft entfaltet.

    Emotet war einst die “gefährlichste Malware der Welt”, so James Shank, Senior Security Evangelist und Chief Architect of Community Service bei der Sicherheitsfirma Team Cymru, in einer E-Mail an Threatpost. Es wird jedoch noch eine Weile dauern, bis die neueste Version in der Lage sein wird, ähnlich viel Schaden anzurichten, fügte er hinzu.

    Shank sagte, es sei noch zu früh, um anhand des von den Forschern veröffentlichten Beispiels zu sagen, wie diese neue Version von Emotet aussehen wird, obwohl es offenbar Code-Überschneidungen zwischen der alten und der neuesten Version gibt. “Alte Signaturen, die geschrieben wurden, um die erste Version von Emotet zu erkennen, erkennen in einigen Fällen auch diese Variante”, sagte er.

    Da das Botnet einige Zeit braucht, um stärker zu werden, haben Unternehmen glücklicherweise noch etwas Spielraum, um ihre Abwehrmaßnahmen zu verstärken, so ein weiterer Sicherheitsexperte.

    “Es wird einige Zeit dauern, bis es seine frühere Größe erreicht hat”, schrieb Eric Kron, Sicherheitsbeauftragter beim Sicherheitsunternehmen KnowBe4, in einer E-Mail an Threatpost. “Leider müssen wir damit rechnen, dass diese infizierten Geräte dazu verwendet werden, die Verbreitung von Ransomware zu steigern, die bereits außer Kontrolle geraten ist.”

    Unternehmen können der Bedrohung bereits zuvorkommen, indem sie ihre Mitarbeiter über die Gefahren von E-Mail-Bedrohungen schulen und die Netzwerküberwachung verstärken, da Emotet Infektionen hauptsächlich über Phishing-Kampagnen verbreitet, so Kron.

    “Kluge Unternehmen werden ihre Benutzer in Sicherheitsschulungen und simulierten Testkampagnen schulen, damit sie Phishing-E-Mails besser erkennen und melden können”, sagte er. “Darüber hinaus kann das Aufspüren neu entdeckter Command-and-Control-Server, die Alarmierung und das Blockieren des Datenverkehrs zu diesen Servern das Risiko einer Infektion erheblich verringern.

    Möchten Sie die Kontrolle über die fadenscheinigen Passwörter zurückgewinnen, die zwischen Ihrem Netzwerk und dem nächsten Cyberangriff stehen? Darren James, Leiter der internen IT-Abteilung bei Specops, und Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4, zeigen Ihnen in der kostenlosen LIVE-Veranstaltung “Password Reset”, wie das geht: Kontrolle über Anmeldeinformationen erlangen, um Angriffe zu stoppen”, am Mittwoch, den 17. November um 14 Uhr ET. Gesponsert von Specops.

    Registrieren Sie sich JETZT für die LIVE-Veranstaltung!

    Einige Teile dieses Artikels stammen aus:
    threatpost.com