Starke Emotet-Variante verbreitet sich über gestohlene E-Mail-Anmeldedaten

  • Die gefährliche Malware scheint wieder voll im Einsatz zu sein. In einer Reihe von Phishing-Kampagnen werden neue Varianten und sicherheitsgefährdende Verhaltensweisen verbreitet.

    Das Wiederauftauchen von Emotet im April scheint das Signal für ein komplettes Comeback des einst als „gefährlichste Malware der Welt“ bezeichneten Schädlings zu sein. Forscher entdeckten verschiedene neue bösartige Phishing-Kampagnen, die gekaperte E-Mails zur Verbreitung neuer Varianten der Malware nutzen.

    Die „neue und verbesserte“ Version von Emotet zeigt ein „beunruhigendes“ Verhalten, indem sie effektiv gestohlene Anmeldeinformationen sammelt und verwendet, „die dann als Waffe eingesetzt werden, um die Emotet-Binärdateien weiter zu verbreiten“, so Charles Everette von Deep Instinct in einem Blogbeitrag diese Woche.

    „[Emotet] nutzt immer noch viele der gleichen Angriffsvektoren, die in der Vergangenheit ausgenutzt wurden“, schrieb er. „Das Problem ist, dass diese Angriffe immer ausgeklügelter werden und die heutigen Standard-Sicherheitstools zum Erkennen und Herausfiltern dieser Arten von Angriffen umgehen.

    Im April kehrten die Emotet-Malware-Angriffe nach einer zehnmonatigen „Frühjahrspause“ mit gezielten Phishing-Angriffen zurück, die mit dem als TA542 bekannten Bedrohungsakteur in Verbindung gebracht wurden, der die Emotet-Malware seit 2014 mit großem Erfolg einsetzt, so ein Bericht von Proofpoint.

    Diese Angriffe – die zur Verbreitung von Ransomware genutzt wurden – folgten auf Angriffe im Februar und März, bei denen Opfer in Japan über gekaperte E-Mail-Threads angegriffen wurden und diese Konten dann als Ausgangspunkt nutzten, um die Opfer dazu zu bringen, Makros für angehängte bösartige Office-Dokumente zu aktivieren“, schrieb Everette von Deep Instinct.

    „Wenn wir uns die neuen Bedrohungen von Emotet im Jahr 2022 ansehen, können wir feststellen, dass die Verwendung von Microsoft Excel-Makros um fast 900 Prozent zugenommen hat, verglichen mit dem, was wir in Q4 2021 beobachtet haben“, schrieb er.

    Emotet ist wieder auf dem Vormarsch

    Die Angriffe, die im April folgten, zielten auf neue Regionen außerhalb Japans ab und wiesen auch andere Merkmale auf, die auf einen Anstieg der Aktivitäten und eine zunehmende Raffinesse von Emotet hindeuten, so Deep Instinct.

    Wie andere Bedrohungsgruppen nutzt Emotet weiterhin einen mehr als 20 Jahre alten Office-Bug aus, der 2017 gepatcht wurde (CVE-2017-11882), wobei fast 20 Prozent der von den Forschern beobachteten Samples diese Schwachstelle ausnutzen. Die Microsoft Office Memory Corruption-Schwachstelle ermöglicht einem Angreifer die Ausführung von beliebigem Code.

    Neun Prozent der beobachteten neuen Emotet-Bedrohungen wurden noch nie zuvor gesehen, und 14 Prozent der jüngsten E-Mails, die die Malware verbreiten, umgingen laut Deep Instinct mindestens einen E-Mail-Gateway-Sicherheitsscanner, bevor sie abgefangen wurden.

    Laut Deep Instinct nutzt Emotet nach wie vor in erster Linie Phishing-Kampagnen mit bösartigen Anhängen als Transportmittel. 45 Prozent der entdeckten Malware nutzte irgendeine Art von Office-Anhang, so Deep Instinct. Bei 33 Prozent dieser Anhänge handelte es sich um Tabellenkalkulationen, 29 Prozent waren ausführbare Dateien und Skripte, 22 Prozent waren Archive und 11 Prozent waren Dokumente.

    Weitere bemerkenswerte Änderungen in der neuesten Version von Emotet sind laut Deep Instinct die Verwendung von 64-Bit-Shellcode sowie von fortschrittlicheren PowerShell- und aktiven Skripten bei Angriffen.

    Die Geschichte einer weit verbreiteten Bedrohung

    Emotet begann seine ruchlosen Aktivitäten als Banking-Trojaner im Jahr 2014, wobei seine Betreiber die zweifelhafte Ehre haben, eine der ersten kriminellen Gruppen zu sein, die Malware-as-a-Service (MaaS) anbieten, wie Deep Instinct feststellte.

    Der Trojaner entwickelte sich im Laufe der Zeit zu einem Full-Service-Bedrohungsauslieferungsmechanismus, der in der Lage ist, eine Reihe von Schadprogrammen auf den Rechnern der Opfer zu installieren, darunter Informationsdiebe, E-Mail-Harvester, Selbstverbreitungsmechanismen und Ransomware. Trickbot und die Ransomware-Gruppen Ryuk und Conti waren in der Tat regelmäßig Partner von Emotet, wobei letztere die Malware nutzten, um sich zunächst Zugang zu den Zielsystemen zu verschaffen.

    Emotet schien durch die gemeinsame Zerschlagung eines Netzwerks aus Hunderten von Botnet-Servern, die das System im Januar 2021 unterstützten, durch internationale Strafverfolgungsbehörden außer Gefecht gesetzt worden zu sein. Doch wie so oft bei cyberkriminellen Gruppen haben sich die Betreiber seither neu formiert und scheinen wieder mit voller Kraft zu arbeiten, so die Forscher.

    Als Emotet im November 2021, fast ein Jahr nach seinem Verschwinden, wieder auftauchte, wurde es von seinem Kollaborateur Trickbot unterstützt. Ein Team von Forschern von Cryptolaemus, G DATA und AdvIntel beobachtete getrennt voneinander, dass der Trojaner einen neuen Loader für Emotet startete und damit seine Rückkehr in die Bedrohungslandschaft signalisierte.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com