Sicherheitsforscher haben eine neue Variante von Emotet entdeckt. Noch wird die Schadsoftware von einer anderen Malware nachgeladen.

Die als besonders gefährlich geltende Schadsoftware Emotet ist wieder zurück. Die Emotet-Tracking-Gruppe Cryptolaemus und die Sicherheitsfirmen GData und Advanced Intel haben eine neue Version von Emotet auf einem mit der Schadsoftware Trickbot infizierten System gefunden.

Früher infizierte Emotet Rechner und lud anschließend Trickbot zum Ausspähen von Zugangsdaten nach. Jetzt nutzen die Kriminellen eine Methode, die Cryptolaemus als Operation Reacharound bezeichnet. Dabei wird das Emotet-Botnetz jetzt unter Nutzung der bestehenden Trickbot-Infrastruktur neu aufgebaut.

„Der international koordinierte Takedown von Emotet zeigte über viele Monate Wirkung und bewahrte viele Opfer vor Schaden, wozu wir allen beteiligten Behörden gratulieren. Unsere aktuellen Analysen machen gleichwohl deutlich, dass Emotet jetzt zurück ist – das zeige die manuelle Analyse aktueller Schadsoftware-Samples“, sagte der Geschäftsführer Dr. Tilman Frosch von GData Advanced Analytics.

Emotet-Sample ist aktuell

Dass bisher noch keine großen Mengen Spam-Emails dazu gebe, liege wahrscheinlich daran, dass das Emotet-Botnetz durch den Takedown nachhaltig gestört worden sei, erklärt GData.

Der Code des jetzt identifizierten Samples ähnele Emotet in der Quellcodestruktur sehr, zeige aber auch Unterschiede auf. So würde zwar weiterhin auf HTTPS gesetzt, jetzt aber auch mit einem selbst signierten Zertifikat. Laut Vitali Kremez von Advanced Intel wurde der nun entdeckte Emotet-Loader-DLL am 14. November kompiliert und ist damit erst knapp drei Tage alt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht allein in Deutschland bisher von mehreren Zehntausend Emotet-Opfern aus. Darunter waren Firmen, aber auch etliche Behörden wie das Kammergericht in Berlin. Der BSI-Präsident Arne Schönbohm bezeichnete Emotet 2019 sogar als „König der Schadsoftware“.

Über vier Millionen Emailkonten kompromittiert

Auf den beim Emotet-Takedown beschlagnahmten Servern fand man auch 4,3 Millionen Zugangsdaten zu E-Mail-Konten, die das FBI an den Dienst Have I Been Pwned (HIBP) weitergab. Dort können Sie auch überprüfen, ob Sie zu den Betroffenen zählen.