Emotet Malware als vermeintliches Word-Update getarnt

Publiziert am 1. November 2020 von Günter Born

[English]Kleine Warnung an Leser/innen: Die Hintermänner der Emotet-Malware verteilen neuerdings dieses Schadprogramm über einen Mail-Anhang, der als vermeintliches Word-Update daher kommt. Auch das Bundesamts für Sicherheit in der Informationstechnik (BSI) warnt vor zunehmenden Cyber-Angriffen.

Anzeige

Emotet ist eine Malware-Familie, die über E-Mails verbreitet wird und in der Regel in Word-Dokumenten mit bösartigen Makros enthalten ist. Wenn diese Dokumente geöffnet werden, versucht ihr Inhalt, den Benutzer dazu zu verleiten, Makros zu aktivieren, so dass die Emotet-Malware heruntergeladen und auf dem Computer installiert wird. Die Malware kann unterschiedliche Schadfunktionen ausliefern, wobei meist eine Infektion mit Ransomware zur Verschlüsselung der Daten samt Lösegeldforderung erfolgt. Als Absender dieser Mails fungieren oft bekannte Kontakte des Empfängers, da Emotet die Kontaktlisten auf infizierten Systemen für den Mail-Versand verwendet.

Emotet als Word-Update getarnt

Die Cyber-Kriminellen der Emotet-Gruppe haben seit einer Woche die Strategie zur Verbreitung der Malware geändert und verteilen eine neue Nachricht samt Anhang, die  vorgibt, von Microsoft zu stammen. Die Nachricht besagt, dass Microsoft Word aktualisiert werden muss, um eine neue Funktion hinzuzufügen.

Emotet-Malware als Word-Update getarnt

Darauf weist unter anderem obiger Tweet von Bleeping Computer hin. Die Hintermänner verwenden eine ganze Reihe an Ködern in ihrer Mail, wie in diesem Artikel dargelegt wird. Das reicht von vermeintlichen Informationen über COVID-19 über angebliche Bestellungen bis hin zu vorgeblichen Rechnungen und Bewerbungen. Und neuerdings halt vorgebliche Word-Updates. Auf Twitter hat Microsoft in diesem Tweet Beispiele solcher Mails (auch zu Halloween), aber auch den nachfolgenden Screenshot, gepostet.

Emotet als Word-Update

Der Anhang ist ein Word-Dokument, das ein bösartiges Makro enthält. In der Mail wird der Nutzer zum Upgrade von Microsoft Word aufgefordert und Links fordern zur Freigabe der Dokumentbearbeitung (Enable Editiing soll die Makrobearbeitung aktivieren) und zum Upgrade (Enable Content lädt das Makro) auf. Wird das Makro aktiviert und ausgeführt, stellt es eine Verbindung zu einer bösartigen Domäne her, um die Emotet-Payload herunterzuladen.

Vor Emotet hatte ich hier im Blog ja bereits häufiger gewarnt, gehört diese Schadsoftware doch zu den erfolgreichsten Erpressungstrojanern, die aktuell aktiv sind. Im Jahresbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird auch vor Emotet gewarnt. Die Cyber-Sicherheitslage in Deutschland wird als 'angespannt' bezeichnet, da es Hackerangriffe auf kritische Infrastrukturen wie Kraftwerke, Krankenhäuser oder den Finanzmarkt gab. Die FAZ hat den Bericht und seine Kerndaten in diesem Artikel aufbereitet.

Vom BSI gibt es diese Internetseite mit Ratschlägen, wie man sich vor Emotet schützen kann und was man zu tun hat, wenn doch eine Emotet-Infektion erfolgt ist.

Anzeige

Ähnliche Artikel:
Cryptolaemus und der Kampf gegen Emotet
EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate
Warnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)
Emotet wütet bei der Studienstiftung des deutschen Volkes
Emotet-Trojaner/Ransomware weiter aktiv
Microsoft warnt vor massiver Emotet-Kampagne
Emotet-Trojaner kann Computer im Netzwerk überlasten

Emotet-Trojaner-Befall in Berliner Oberlandesgericht
Emotet-Infektion an Medizinischer Hochschule Hannover
Emotet C&C-Server liefern neue Schadsoftware aus–Neustadt gerade infiziert
Emotet-Trojaner bei heise, Troy Hunt verkauft Website
Emotet zielt auf Banken in DACH
Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt

Die IT-Notfallkarte des BSI für KMUs
FAQ: Reagieren auf eine Emotet-Infektion'

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Emotet Malware als vermeintliches Word-Update getarnt

  1. No sagt:
    1. November 2020 um 10:41 Uhr

    Emotet wird oft als besonders "raffinierte" malware beschrieben, aber meistens ist es eine

    – docx mit VBA
    – ruft Powershell auf
    – Powershell lädt daas Virus (*.exe) von einer von 7 url's nach

    Da die Datei aus dem Netz kommt, fügt MS einen ADS mit "Zone 3" und der url an.

    An jedem dieser Punkte könnte MS besser prüfen und die Ausführung blockieren.

    Da doxc mit VBA nur durch Manipulation der Zip-Sturktur möglich ist, sollte das gut zu prüfen sein.

    (PS: wer den hash mit einer Blacklist vergleicht, ist gedanklich noch im letzten Jahrtausend)

    Antworten
    • Carsten sagt:
      3. November 2020 um 12:01 Uhr

      Ist es tatsächlich möglich, ein DOCX mit VBA-Code zu versehen, so dass Word den VBA-Code (evtl. erst nach Rückfrage) beim Öffnen der DOCX-Datei ausführt?

      Ein simples Erstellen eines DOCM, das also VBA-Code enthält, und anschließendes Umbenennen in DOCX reicht nicht, wenn ich das nach einem kurzen Test richtig sehe.

      Antworten

Schreibe einen Kommentar zu Carsten Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.