Emotet in verschlüsselten Anhängen - Eine wachsende Cyberbedrohung
01.10.2020 / ID: 355230
Unternehmen, Wirtschaft & Finanzen
Die Cyberkriminellen hinter dem Banking-Trojaner Emotet unternehmen viel, um mit verschiedensten Tricks Anti-Viren-Filter zu umgehen und die Malware auf noch mehr Systemen zu verbreiten. Von Email Conversation Thread Hijacking, über Änderungen der Webshells bis hin zum Update des Emotet-Loaders, was zu einem enormen Anstieg an Downloadzahlen der Malware führte. Nun versendet Emotet erneut verschlüsselte Anhänge über seinen Malspam, um sein Botnet-Netzwerk weiter ausbauen.
Seit September beobachtet das Hornetsecurity Security Lab einen erheblichen Zuwachs an Emotet-Malspam, welcher wieder verschlüsselte Archiv-Dateien versendet. Das Passwort zur Entschlüsselung der Datei ist als Klartext im E-Mail Anschreiben enthalten. Durch die Verschlüsselung des Anhangs ist es herkömmlichen Anti-Viren-Programmen nicht möglich, das versteckte Schadprogramm zu entdecken und zu blockieren. Jedoch kann das Opfer die Datei entschlüsseln, öffnen und ausführen, wodurch die Malware schließlich nachgeladen wird.
Doch diese Methode ist nicht neu: Bereits im April 2019 entdeckten Security-Analysten erste Wellen des Emotet-Malspams mit verschlüsselten Zip-Dateien. Seitdem treten solche Spamwellen immer mal wieder verteilt über das Jahr auf und halten einige wenige Tage an. Als Operation "Zip Lock" bezeichnet die White-Hat-Group "Cryptolaemus" dieses Vorgehen der Akteure hinter Emotet. Das Team aus über 20 Security Forschern und System Administratoren hat sich als Ziel gesetzt, die Verbreitung der "gefährlichsten Malware der Welt" einzudämmen. Täglich veröffentlicht die Gruppe sämtliche Updates von Emotet auf ihrer Website und dem Twitter-Account. Damit System- und Netzwerkadministratoren die sogenannten Indicators of compromise (IOCs), dazu gehören IP-Adressen für Emotet Befehlsserver, Betreffzeilen und Datei-Hashes von Emotet-infizierten Dateien, in ihren Security-Filtern eintragen und sich so vor möglichen Emotet-Infektionen schützen können.
Die aktuelle Malspam-Welle mit verschlüsselten Archiven sei nun bereits seit mindestens 1. September aktiv und zielte zuerst auf den japanisch-sprachigen Raum. Das Hornetsecurity Security Lab registrierte schließlich Spam-Wellen auf Spanisch, Englisch und Deutsch ab etwa dem 14. September.
Um die Chance noch weiter zu erhöhen, dass ihr Opfer die Schad-Mail beim Eintreffen im Postfach auch tatsächlich öffnet und den Anhang aktiviert, bedienen sich die Cyberkriminellen zusätzlich der "Email Conversation Thread Hijacking" Technik. Dabei werden bereits bestehende E-Mail-Konversations-Threads des Opfers verwendet, um "authentischer" zu wirken. Die Angreifer antworten dann auf bestehende Unterhaltungen, die ihr Angriffsziel in der Mailbox noch gespeichert hat.
Ein beliebter Cybercrime-Trend
Generell ist die E-Mail Angriffsmethode mit verschlüsselten Anhängen recht beliebt unter cyberkriminellen Gruppen. So entdeckten die Security-Analysten von Hornetsecurity auch in Malware-Kampagnen von GandCrab verschlüsselte Office-Dokumente und die Malware Ursnif verbreitet sich ebenfalls durch verschlüsselte Zip-Anhänge.
Wie kann ich mich davor schützen?
Die verschlüsselten Emotet-Dateien werden bis heute nicht von herkömmlichen Antivirenprogrammen entdeckt, dass beweist der Malwarescanner Dienst VirusTotal. Auch die Technik des Email Conversation Thread Hijacking trägt zum "Erfolg" der Cyberkriminellen bei, denn für die Empfänger ist es kaum möglich, einen solchen Angriff zu erkennen, da die Schad-E-Mails von einem legitimen, aber kompromittierten Konto versendet werden.
Tiefergehende Filter und intelligente Security-Mechanismen sind jedoch in der Lage, beide dieser Angriffstechniken zu entdecken und diese vom Postfach des Empfängers fernzuhalten. Das Vorgehen der Cyberkriminellen hinter Emotet verdeutlicht, dass es auch für Unternehmen an der Zeit ist, den nächsten Schritt im Bereich der Cybersecurity zu gehen. Denn erfolgreiche Attacken treiben die Ambitionen der Hacker weiter an und bringen auch weitere Cyberkriminelle auf den Plan.
Weitere Informationen unter: https://www.hornetsecurity.com/de/wissensdatenbank/emotet/ .
http://www.hornetsecurity.com/
Hornetsecurity GmbH
Am Listholze 78 30177 Hannover
Pressekontakt
http://www.trendlux.de
trendlux pr GmbH
Oeverseestr. 10-12 22769 Hamburg
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Micha Beyersdorf
01.09.2020 | Micha Beyersdorf
Hornetsecurity verkündet neue Partnerschaft mit Infinigate UK
Hornetsecurity verkündet neue Partnerschaft mit Infinigate UK
11.08.2020 | Micha Beyersdorf
Rund 70% aller E-Mails sind ungewollt
Rund 70% aller E-Mails sind ungewollt
29.07.2020 | Micha Beyersdorf
Providence Strategic Growth und Verdane investieren in Hornetsecurity
Providence Strategic Growth und Verdane investieren in Hornetsecurity
09.07.2020 | Micha Beyersdorf
Automobil-Sektor im Fokus von Hackerattacken
Automobil-Sektor im Fokus von Hackerattacken
17.06.2020 | Micha Beyersdorf
Hornetsecurity launcht Hornet.email
Hornetsecurity launcht Hornet.email
Weitere Artikel in dieser Kategorie
11.07.2025 | GOLDINVEST Consulting GmbH
Silver47 - Umfangreiche Bodenuntersuchungen kurz vor Abschluss
Silver47 - Umfangreiche Bodenuntersuchungen kurz vor Abschluss
11.07.2025 | GOLDINVEST Consulting GmbH
Sitka Gold weist außergewöhnliche Mengen sichtbaren Goldes nach!
Sitka Gold weist außergewöhnliche Mengen sichtbaren Goldes nach!
10.07.2025 | JS Research
Gold ist etwas Besonderes, manchmal auch bestimmte Münzen
Gold ist etwas Besonderes, manchmal auch bestimmte Münzen
10.07.2025 | JS Research
Gold ist gefragt bei den Deutschen
Gold ist gefragt bei den Deutschen
10.07.2025 | Alvarez & Marsal
Neuer A&M Distress Alert (ADA) Handelszölle belegt: mehr Unternehmen befinden sich in einer Krisensituation
Neuer A&M Distress Alert (ADA) Handelszölle belegt: mehr Unternehmen befinden sich in einer Krisensituation
