IT-Security-Informationen

Die Cyberkriminellen hinter dem Banking-Trojaner Emotet unternehmen viel, um mit verschiedensten Tricks Anti-Viren-Filter zu umgehen und die Malware auf noch mehr Systemen zu verbreiten. Von Email Conversation Thread Hijacking, über Änderungen der Webshells bis hin zum Update des Emotet-Loaders, was zu einem enormen Anstieg an Downloadzahlen der Malware führte. Nun versendet Emotet erneut verschlüsselte Anhänge über seinen Malspam, um sein Botnet-Netzwerk weiter ausbauen….

Man sollte nur E-Mail-Anhänge und Links von Absendern öffnen, die man kennt. Das ist ein oft gegebener Ratschlag, wenn es darum geht, E-Mail-basierte Malware und Phishing-Angriffe zu verhindern. Im folgenden Artikel zeigen wir jedoch eine Angriffstechnik bei der die bestehenden E-Mail-Konversationen eines Phishinig-Opfers und damit die Vertrauensbeziehungen genutzt werden, um sich auf neue Systeme zu verbreiten – bekannt ist diese Technik als E-Mail Conversation Thread Hijacking. Gegen diese Art von Angriff hilft der vorherige Ratschlag nicht weiter. Wir erklären, wie E-Mail Conversation Thread Hijacking von Angreifern eingesetzt wird und warum es die Wahrscheinlichkeit dramatisch erhöht, dass ihre Opfer schädliche Links oder Anhänge öffnen.

Das Hornetsecurity Security Lab beobachtete einen 1000 % Anstieg in den Downloadzahlen des Emotet Loaders. Die Zunahme der Downloadzahlen des Emotet-Loaders korreliert mit der Packer-Änderung der Malware, was dazu führt, dass der Emotet-Loader von Anti-Viren-Software weniger erkannt wird. Die von uns gesammelten Daten deuten darauf hin, dass diese Zunahme darauf zurückzuführen ist, dass der Loader nicht direkt erkannt wird und somit auch die Download-URLs der Emotet-Loader weniger durch Sicherheitsmechanismen blockiert werden. Jedoch schließen viele AV-Anbieter die Erkennungslücke bereits, wodurch die Identifizierung des Emotet-Loaders zunimmt und damit auch die Anzahl der Downloads wieder abnimmt. Die folgende Analyse gibt gute Einblicke in die Auswirkungen eines Emotet-Packer-Updates.

Am 07.07.2020 hat Mozilla seinen Dienst Firefox Send wegen Missbrauchs durch Malware vorübergehend deaktiviert. Das Security Lab von Hornetsecurity erklärt, wie Malware Firefox Send missbraucht hat. Zu diesem Zweck wird eine Malspam-Kampagne analysiert, die eine Variante der Malware Ursnif verbreitet. Die Kampagne benutzte den Dienst Firefox Send, um ihren bösartigen Downloader zu hosten und den Opfern diese bösartigen Firefox Send-Links zu senden. Solcher Missbrauch veranlasste Mozilla dazu, den Firefox-Send-Dienst zu deaktivieren, da dem Dienst derzeit eine Funktion zur Meldung von Missbrauch fehlt. Das heißt, selbst wenn Sicherheitsforscher diese bösartigen Links gefunden haben, könnten sie Mozilla nicht gemeldet werden, um sie abzuschalten. Unsere Analyse zeigt jedoch weiter, dass Malware bereits andere Dienste missbraucht, so dass die Deaktivierung von Firefox Send – obwohl es die richtige Entscheidung war – keine Auswirkungen auf Malware-Kampagnen hat.

Rund 300 Milliarden E-Mails werden täglich versendet – die Zahl der privat und geschäftlich verschickten und empfangenen E-Mails soll laut Prognose bis 2024 sogar auf 361,6 Milliarden ansteigen. Allerdings sind nicht alle E-Mails, die im Postfach von Usern landen,...

Das Hornetsecurity Security Lab präsentiert Details zu den Webshells hinter Emotet, einschliesslich Einblicken in Download Zahlen der Malware und wie von 2020-07-22 bis 2020-07-24 Emotet Download-URLs durch HTML-Code mit GIFs ersetzt wurden. Die Analyse zeigt, dass die Anzahl der Downloads des bösartigen Inhalts hinter den Emotet Download-URLs signifikant ist und im Spitzenwert 50.000 Downloads erreichen kann. Das verdeutlicht, dass die schadhaften Links in Emotet-Mails druchaus aufgerufen werden. Die Analyse zeigt ferner, dass kompromittierte Websites nicht nur einmal, sondern mehrfach von verschiedenen Akteuren kompromittiert werden und dass die Bereinigungsversuche der Website-Administratoren oft unzureichend sind, was dazu führt, dass die als entfernt geglaubten bösartigen Emotet-Downloads oft wieder aktiviert werden…

+++ INFORMATION +++ Aktuell wird empfohlen, die betroffenen Datenflüsse zu identifizieren und auf Alternativen umzustellen, die dem erforderlichen Schutzniveau der DSGVO entsprechen. Wir möchten an dieser Stelle daher darauf hinweisen, dass die Cloud Email Security...

Am 17.07.2020 entdeckte das Hornetsecurity Security Lab die Rückkehr von Emotet. Der wieder auftauchende Emotet-Malspam wurde bereits durch bestehende Erkennungsregeln blockiert. Die aktuelle Emotet-Malspam-Welle verwendet erneut bösartige Makrodokumente, die entweder über Anhänge oder über bösartige Download-Links verbreitet werden. Wie üblich laden die VBA-Makros im Dokument den Emotet Loader herunter, den das Hornetsecurity Security Lab bereits analysiert hat.