PSW Group warnt: Trojaner kann E-Mail Inhalte von infizieren Rechnern auslesen
Schadsoftware Emotet ist offenbar zurück
Emotet ist offenbar zurück. Wie Phoenix aus der Asche kehre der Trojaner nach knapp fünfmonatiger Pause wieder zurück. Wieder gebe es eine Welle an Spam-Mails und Emotet-Aktivitäten, wie die IT-Sicherheitsexperten der PSW Group erklärten. „Seit Mitte Juli gehen vom Bot-Netz Emotet nach gut fünfmonatiger Pause Angriffswellen aus. Die Ziele lagen bislang vorwiegend in den USA sowie im Vereinigten Königreich. Die Opfer des Trojaners erhalten eine E-Mail mit Links oder Word-Dokumenten sowie der Bitte, diese zu öffnen. Erlaubt der Rechner des Opfers Makros, so aktiviert dies die in den Dokumenten enthaltenen Makros, deren Ausführung für die Installation von Emotet sorgt“, sagt Patrycja Tulinska, Geschäftsführerin der PSW Group.
Um die Opfer zu verführen, Links und Anhänge anzuklicken, müssen die E-Mails entsprechend echt aussehen. Und genau dabei habe Emotet stark dazugelernt. Der Trojaner hat die Fähigkeit, aus den E-Mail-Programmen infizierter Rechner neben Kontaktinformationen sowie -beziehungen auch Inhalte von Nachrichten auszulesen. In der Folge sind die Angreifer in der Lage, täuschend echt wirkende Antworten auf Nachrichten zu geben, die die Nutzer tatsächlich versendet haben.
Den E-Mail-Empfänger zur Aktivierung von Makros zu bewegen sei dann nur noch ein kleiner Schritt. In der Vergangenheit hat Emotet Daten verschlüsselt. Bislang ist unklar, welche Schadsoftware durch Emotet nun im Rahmen der neuen Welle konkret auf infizierten Rechnern installiert wird. „In den E-Mails angehängten Dokumenten befinden sich offenbar neue URLs. Diese verweisen auf gehackte Wordpress-Sites. Auf solchen Zielseiten werden verschiedene Informationen angezeigt, etwa, dass es nicht möglich sei, das Dokument ordnungsgemäß zu öffnen. Klicken Nutzer auf derartige Nachrichten, könnte das Tür und Tor für den Trojaner öffnen“, erläutert Tulinska.
Ist Emotet erst einmal auf einem System, lädt es Schadprogramme wie Trickbot nach. Mithilfe dieser lassen sich Kennwörter, aber auch SSH-Keys oder Cookies stehlen. Hinzu kommt die Tatsache, dass sich Emotet im Netzwerk immer weiter verbreitet. Die Sicherheitsforscher von Malwarebytes attestieren Emotet vor allem dann Gefährlichkeit, wenn er sich mit anderen Schädlingen verbündet, um etwa Ransomware auf die Systeme zu schleusen.
„Wir müssen davon ausgehen, auch in Zukunft immer wieder von Emotet in neuen Varianten zu hören“, vermutet Tulinska und fährt fort: „Der Trojaner zeigt, dass das Wettrennen zwischen der IT-Sicherheitsbranche und Cyberkriminellen Realität ist und bleiben wird. Deshalb kann ich nur jedem dringend ans Herz legen, sich und seine IT-Infrastruktur zu schützen.“ Zu den wichtigsten Maßnahmen zählen dabei unter anderem Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme zügig zu installieren, eine im Unternehmen zentral administrierte Anti-Viren Software einzusetzen, eine regelmäßige mehrstufige Datensicherung durchzuführen, auf ein automatisiertes Monitoring inklusive Alarm bei Anomalien zu setzen und ein Berechtigungsmanagement einzuführen, bei dem Angestellte nur Zugang zu Anwendungen oder Konten bekommen, die zu ihrer Aufgabenerfüllung wirklich notwendig sind und nicht benötige Zugänge oder Software zu deinstallieren.
Die Verschlüsselung der E-Mail-Kommunikation verhindere zudem das Ausspähen der E-Mail-Inhalte. Wer durchgängig auf digitale Signaturen setze, dem gelingt die Validierung bekannter E-Mail-Absender. Weitere Informationen gibt es unter https://www.psw-group.de/blog/emotet-trojaner-kehrt-zurueck/7645.
Lesen Sie mehr zum Thema
