+++ UPDATE 05.12.2018: Das Hornetsecurity Security Lab meldet aktuell einen immensen Anstieg an gefährlichen E-Mails, die die bösartige Schadsoftware „Emotet“ mit sich bringt. Auch das BSI informiert über die wachsende Bedrohung, durch die aktuelle Phishing- und Spam-Kampagne, durch die „Emotet“ verbreitet wird. Bei betroffenen Unternehmen kam es zu Ausfällen der kompletten IT-Infrastruktur, was einen immensen Kapitalschaden nach sich zieht.
Getarnt als Office-Word-Dokument im Anhang einer seriös gestalteten E-Mail, wird das Schadprogramm beim Öffnen auf dem Computer installiert und liest Kontakte sowie E-Mail-Inhalte aus den Postfächern des infizierten Systems aus. Darüber hinaus verfügt Emotet über die Möglichkeit weitere Schadprogramme nachzuladen, die es den Hackern ermöglicht Zugangsdaten auszulesen und per Remote-Access auf das System zuzugreifen.
Bereits im September dieses Jahres berichtete Hornetsecurity über die Aufmachung der Schadsoftware als Rechnung im PDF Dokument getarnt, welche beim Ausführen einen Banking-Trojaner nachlädt: +++
Neue Emotet-Version
Seit der Weihnachtswelle im letzten Jahr wurden keine Großoffensiven des Banking-Trojaners Emotet mehr beobachtet. Nun erscheint er in einer neuen Gestalt und wird durch eine heimtückische Blended Attack verteilt.
Die Malware-Spezialisten aus unserem Security-Lab haben am Donnerstag den 06.09.18 eine neue Variante des Banking-Trojaners Emotet gefunden und den Angriffsweg genauer untersucht.
Frühere Varianten von Emotet wurden vornehmlich direkt in E-Mail-Anhängen oder durch Links im Body von E-Mails verteilt. Diese neue Variante setzt auf einen komplexeren Auslieferungsweg: Sie verbirgt sich hinter einem als Rechnung getarnten PDF-Dokument, das an eine Phishing-Mail angehängt wurde.
Emotet Phishing E-Mail

Phishing-Mail mit angehängtem PDF-Dokument

Emotet PDF-Dokument

PDF-Dokument mit Link zur Office-Datei

Im Inhalt dieses PDF-Dokuments befindet sich ein Link zu dem Download einer Office-Datei.
Emotet Office-Dokument

Office-Dokument

Öffnet das Opfer die Datei, wird ein Makro ausgeführt, das die gefährliche Malware herunterlädt.
Statische Analyse Emotet Code-Fragment

Statische Analyse – Code-Fragment

Diese Verschleierungstaktik nutzt Emotet, um Virenfilter und Sandbox-Analysen zu umgehen. Bisher scheint dies gut zu funktionieren, denn nicht mal ein Drittel, der auf VirusTotal gelisteten Antiviren-Programme, stuft die Datei als gefährlich ein.

Mit Advanced Threat Protection auf der sicheren Seite

Das URL-Scanning-Feature der Advanced Threat Protection von Hornetsecurity findet auch diese noch so gut versteckte Datei und schützt Kunden vor dieser hartnäckigen Blended Attack schon vor dem Eintreffen der Phishing-Mail.
In einem früheren Artikel haben wir einer anderen Variante von Emotet unter die Haube geschaut und ihr Verhalten analysiert.