Schadsoftware: Gefährlicher Emotet-Trojaner in Spam-Mails

Schmuckgraphik
Eine neue Emotet-Trojaner-Welle hat wie viele andere Hochschulen auch jetzt Freiberg erreicht. Es wird eine bereits vorhandene Kommunikation weitergeführt, bei dem der Angreifer und nicht eigentliche Kommunikations-Partner schreibt. Aufgrund mehrerer Vorfälle ist eine erhöhte Vorsicht geboten.

Emotet kurz erklärt

Was ist Emotet?

Die Malware Emotet ist ein bekannter Banking-Trojaner, welcher inzwischen auch für andere Angriffsszenarien verwendet wird. In regelmäßigen Abständen führen die Angriffswellen zu großem Aufsehen. Emotet besitzt ein enormes Zerstörungspotential.

Wie geht Emotet vor?

Emotet geht sehr perfide vor: Beim Angriff wird auf eine reale, bereits vorhandene Kommunikation geantwortet. D.h. der Angreifer führt die Kommunikation in dem Namen des ursprünglichen Kommunikations-Partners weiter.

Die E-Mails enthalten i.d.R. einen Anhang (z.B. DOC), in dem sich der Schadcode versteckt. Aktiviert man diesen, wird die Malware auf dem System eingeschleust und ausgeführt.

Warum ist Emotet so gefährlich?

Ist Ihr System infiziert, können die Systemeinstellungen des Computers sowie sämtliche Passwörter ausgelesen und geändert werden. Auch können alle Daten und Prozesse im System ausgelesen und ausgewertet werden.

Die aktuelle Bedrohungslage

Wir haben von mehreren Fällen Kenntnis, in denen der Emotet-Trojaner empfangen, ausgeführt und verbreitet wurde. Die Virussignatur war zu der Zeit bei fast keiner Anti-Spam-Software (Sophos, Astaro) bekannt, so dass diese E-Mails auch erfolgreich zugestellt werden konnten. In solchen Fällen ist auch von einem Zero-Day-Exploit die Rede. D.h. der Exploit wird eingesetzt, bevor Patches oder aktualisierte Virensignaturen der Hersteller veröffentlicht worden.

So schützen Sie sich

Seien Sie auch bei vermeintlich bekannten Absendern misstrauisch. Fällt Ihnen ein Unterschied zwischen dem angezeigten Absender-Namen und der Absender-Adresse auf, ist dies ein deutlicher Hinweis auf eine Spam-Mail. Seien Sie stets vorsichtig bei Dateianhängen bei E-Mails (insbesondere Office-Dokumente). Informieren Sie sich im Zweifelsfall beim Absender telefonisch.

Screenshot Mail-Empfang

Hinweis: Bei einer internen Kommunikation zwischen zwei Exchange-Nutzern an der TU wird die E-Mail-Adresse nicht wie im Screenshot daneben angezeigt, sondern nur der Absendername. In diesem Fall können Sie von der Echtheit des Kommunikationspartner ausgehen.

Vorsicht ist besser als Nachsicht

Wenn Sie sich unsicher sind, ob die E-Mail glaubwürdig ist, fragen Sie besser einmal mehr als einmal zu wenig:

  • Fragen Sie den Absender der E-Mail (idealerweise per Telefon).
  • Fragen Sie einen Kollegen.
  • Fragen Sie unseren IT Service Desk.
    • E-Mail: servicedeskattu-freiberg [dot] de
    • Telefon: 1818

Deaktivieren Sie Makros

Wenn Sie die Möglichkeit haben, deaktivieren Sie Makros, damit diese nicht automatisch auf Ihrem System ausgeführt werden können. Die Anleitung zum Aktivieren oder Deaktivieren von Makros in Office-Dateien finden Sie auf den Support-Seiten von Microsoft Office. Falls Sie aus Gründen keine Sicherheitshinweise erhalten können, seien Sie besonders achtsam.

Das können Sie tun, wenn Sie betroffen sind

Höchstwahrscheinlich sind auf einem mit Emotet infizierten System alle gespeicherten oder eingegebenen Zugangsdaten für E-Mail-Konten (in dem Fall Ihr zentrales Login) und andere Online-Dienste (FTP-Zugänge, Online-Shops, etc.) ebenfalls kompromittiert.

  • Nehmen Sie umgehend das infizierte Gerät vom Datennetz.
  • Informieren Sie schnellstmöglich Ihren zuständigen (lokalen) Administrator.
  • Ändern Sie unbedingt Ihre Zugangsdaten, die auf dem betroffenen Gerät hinterlegt sind.
  • Informieren Sie Ihre potentiellen Kontakte, dass diese bei E-Mails von Ihnen vorsichtig sein sollen, da diese möglicherweise nicht von Ihnen stammen.

Desinfektion eines Computers nach einem Virenbefall

Das System an sich kann bereits unterlaufen sein, so dass die vorhandenen Schutz-Programme nicht mehr anschlagen können. Falls Sie Zugriff auf eine Software wie z.B. Desinfec't haben, können Sie diese über Ihr System laufen lassen.

System neu aufsetzen

Im Zweifelsfall kommen Sie nicht herum, Ihr System vollständig neu aufzusetzen, da es zu irreparablen Schäden gekommen sein kann.

Der Infektions-Prozess von Emotet

Phase 1: Infektion

Der Angreifer schickt eine Spam-Mail mit der Malware (Trojaner) im Anhang. Das Opfer öffnet die die E-Mail und den Anhang. Das Opfer klickt die Warnung weg, aktiviert also die Makros. Dadurch wird die Emotet-Malware von einer kompromittierten Website heruntergeladen.

Phase 2: System infiltrieren

Der Emotet-Trojaner nistet sich in dem System ein, erstellt diverse Dienste und Registry-Schlüssel für einen Autostart-Eintrag.

Phase 3: Instruktionen holen

Der Trojaner kontaktiert seinen Command & Control-Server und holt sich von dort weitere Anweisungen.

Phase 4: Im Netzwerk verbreiten

Jetzt erfolgt die Verbreitung im Netzwerk. Über verschiedene Wege wird versucht, Daten abzugreifen (z.B. über WebBrowserPassView, NetPass.exe, Outlook Scraper, Mail PassView, Credential Enumerator) und dem Angreifer zu übermitteln.

Beispiel einer Emotet-Analyse

Die Emotet-Funktionsweise lässt sich anhand eines Beispiels gut verdeutlichen. Mit dem interaktiven Malware-Analyse-Dienst Any.Run können sich die meisten Bedrohungsarten dynamisch und statisch untersucht werden. Für den Emotet-Fall könnte das Ergebnis der Analyse wie im Screenshot aussehen.

Screenshot Any.Run

Weitere Informationen