Die bekannte Phishing-Schadsoftware Emotet weitet nach Beseitigung eines Fehlers, der eine Infektion angegriffener PCs verhinderte, inzwischen seine Angriffe weltweit wieder aus.

Von den Sicherheitsforschern von Cryptolaemus kommt die Erkenntnis, dass der Anhang der letzten Emotet-Phishing-Mails fehlerhaft war und deshalb das Öffnen der verseuchten Anhänge nicht zu einer Infektion mit Schadcode führte. Inzwischen haben die Hintermänner der weltweit wieder durchstartenden Kampagne den Fehler aber beseitigt und Emotet ist erneut auf dem Vormarsch.

Seit Anfang 2022 tritt Emotet inzwischen wieder häufiger auf und zielt darauf ab, Windows-PCs zu infizieren. Sicherheitsforscher von Kaspersky bestätigten dazu, dass sie im Februar schon gut 3.000 Mails mit Emotet im Anhang beobachtet haben. Im März sollen es dann mit 30.000 schon zehnmal so viele gewesen sein. Als Basis für den Emotet soll ein ausgebautes Botnet dienen, das die Installer auf 64-Bit-Basis verteilt.

Emotet wurde reaktiviert

Die aktuelle Emotet-Kampagne hat ein passwortgeschütztes Zip-Archiv im Anhang der Phishing-Mails. Das dazugehörige Passwort steht dann im Body der Email. Lässt sich das Opfer dazu verleiten, den Anhang zu öffnen, findet er darin eine vermeintliche Word-Datei, die in Wirklichkeit aber eine Windows-Dateiverknüpfung (.lnk) ist.

Nach einem Doppelklick sollte dann eigentlich ein Visual-Basic-Script (VBS) starten, um den Schadcode auf den Computer zu übertragen. Wegen der fehlerbehafteten Verknüpfung ist das aber nicht passiert, berichtet Cryptolaemus auf Twitter. Jetzt soll dieser Fehler aber wieder behoben worden sein und Emotet ist aktuell erneut infektiös.

Es kann bei der Erkennung einer Phishing-Mail von Emotet hilfreich sein, dass die Sicherheitsforscher von Cofense die Dateinamen von Emotet-Anhängen aus der aktuellen Kampagne aufgelistet haben:

  • form.zip
  • Form.zip
  • Electronic form.zip
  • PO 04252022.zip
  • Form – Apr 25, 2022.zip
  • Payment Status.zip
  • BANK TRANSFER COPY.zip
  • Transaction.zip
  • ACH form.zip
  • ACH payment info.zip

Eine sehr gefährliche Malware

Emotet tauchte zuerst 2018 auf und besitzt diverse Schadfunktionen. Einmal installiert, kann der Schädling zum Beispiel weitere Schadsoftware nachladen, sich tief ins Netzwerk eingraben und auch Hintertüren installieren.

Normalerweise versucht die Malware mit gut gemachten Phishing-Mails auf die Computer zu kommen. Dafür benutzen die Hintermänner auch in vielen Fällen ausgespähte Interna von Firmen, beispielsweise um mit ihren Emails an real existierende Projekte anzuknüpfen.

Das wirkt dann ja deutlich glaubhafter und soll die Opfer dazu verleiten, den Dateianhang zu öffnen, der dann den Schädling herunterlädt. Ganz allgemein gilt ja schon immer, dass man nicht ohne gut nachzudenken auf Links in Emails klicken oder irgendwelche angehängten Dateien öffnen sollte.

Ersten Tiefschlag überwunden

Anfang 2021 gelang den Strafverfolgern ein großer Schlag gegen die Emotet-Infrastruktur und es wurde längere Zeit recht still um den Schädling. Allerdings war der Schädling seitdem zu keiner Zeit ganz verschwunden und tauchte immer mal wieder auf…