Seit der Weihnachtswelle im letzten Jahr wurden keine Großoffensiven des Banking-Trojaners Emotet mehr beobachtet. Nun erscheint er in einer neuen Gestalt und wird durch eine heimtückische Blended Attack verteilt.

Die Malware-Spezialisten aus unserem Security-Lab haben am Donnerstag den 06.09.18 eine neue Variante des Banking-Trojaners Emotet gefunden und den Angriffsweg genauer untersucht.

Frühere Varianten von Emotet wurden vornehmlich direkt in E-Mail-Anhängen oder durch Links im Body von E-Mails verteilt. Diese neue Variante setzt auf einen komplexeren Auslieferungsweg: Sie verbirgt sich hinter einem als Rechnung getarnten PDF-Dokument, das an eine Phishing-Mail angehängt wurde.

Emotet Phishing E-Mail

Phishing-Mail mit angehängtem PDF-Dokument

Emotet PDF-Dokument

PDF-Dokument mit Link zur Office-Datei

Im Inhalt dieses PDF-Dokuments befindet sich ein Link zu dem Download einer Office-Datei.

Emotet Office-Dokument

Office-Dokument

Öffnet das Opfer die Datei, wird ein Makro ausgeführt, das die gefährliche Malware herunterlädt.

Statische Analyse Emotet Code-Fragment

Statische Analyse – Code-Fragment

Diese Verschleierungstaktik nutzt Emotet, um Virenfilter und Sandbox-Analysen zu umgehen. Bisher scheint dies gut zu funktionieren, denn nicht mal ein Drittel, der auf VirusTotal gelisteten Antiviren-Programme, stuft die Datei als gefährlich ein.

Mit Advanced Threat Protection auf der sicheren Seite

Das URL-Scanning-Feature der Advanced Threat Protection von Hornetsecurity findet auch diese noch so gut versteckte Datei und schützt Kunden vor dieser hartnäckigen Blended Attack schon vor dem Eintreffen der Phishing-Mail.

In einem früheren Artikel haben wir einer anderen Variante von Emotet unter die Haube geschaut und ihr Verhalten analysiert.