Emotet hebt Spam auf eine neue Ebene. Seinen großen „Erfolg“ verdankt der Trojaner auch seiner ausgefeilten Verbreitungstaktik.
Emotet vervielfältigt sich wie ein Wurm selbstständig und verbreitet sich anhand gespeicherter Kontaktdaten und E-Mail-Verläufe. Perfide daran: Er nutzt nicht nur bekannte Namen und E-Mail-Adressen, sondern kapert teilweise sogar aktuelle E-Mail-Verläufe. Infizierte E-Mails kommen daher auch als (scheinbare) Antwort auf einen bestehenden Thread: mit vertrautem Betreff, zitierten „echten“ Inhalten und realistischen Absender-Daten. Andere Kampagnen schicken angebliche Rechnungen, Zahlungserinnerungen oder Reklamationen. Eine der jüngsten Kampagnen bezog sich auf Snowdens aktuelles Buch – die AngreiferInnen versuchen mit immer neuen Themen, die EmpfängerInnen in die Falle zu locken.
Wenn nicht bei fremden Namen oder Mail-Adressen, sollte man spätestens bei unerwarteten Anhängen (gerne Word-Dokumente mit aktivierten Makros oder PDFs), Links, Scripts (Auto-Scripts bitte immer blockieren!) oder Datenaustausch-Plattformen (DropBox, One-Drive…) Verdacht schöpfen.
Security-Tipp 1#: Awareness
Fragen Sie sich bei jeder E-Mail selbst: Kennen Sie den Absender und erwarten Sie eine Nachricht mit Anhang, Link oder Script?
- Nein? Öffnen Sie das Dokument nicht und klicken Sie auch nicht auf den Link!
- Ja, der Absendername ist bekannt und die Dateien oder Links passen zur angezeigten Unterhaltung? Fragen Sie im Zweifelsfall vor dem Öffnen bzw. Klicken auf analogem Wege nach, wenn Ihnen irgendetwas an der E-Mail ungewöhnlich erscheint.
Ein unbedachter Klick und schon wird der Schadcode ausgeführt, weitere Malware nachgeladen und verbreitet. Das freie Auge ist mit den Tricks der „Bösen“ schnell überfordert, weiß Security-Experte Benjamin Paar: „Manche URLs sehen nur auf den ersten Blick vertraut aus, haben aber vielleicht einen unauffälligen Fehler eingebaut. Zum Beispiel kann hinter www.lKARUS.at die Domain www.LKARUS.at* stehen, wenn das große i fast unmerkbar gegen ein kleines l getauscht wird. Das ist eine gängige, äußerst gemeine und schwer zu findende Methode, meistens ohne maschinelle Unterstützung nicht zu erkennen.“
Emotet wütet weltweit und flächendeckend, wir sichten auch maßgeschneiderte Kampagnen für Österreich und Deutschland. Unternehmen, Behörden und Privatpersonen sind gleichermaßen gefährdet. Neben den obligatorischen technischen Sicherheitsvorkehrungen (Software immer aktuell halten, Malwareschutz am Endgerät sowie auch für E-Mail- und Web-Gateways, Skripts und Makros blockieren) helfen Wachsamkeit und Vorsicht. Informieren und schulen Sie sich und alle MitarbeiterInnen gezielt über die Gefahren und Merkmale, und frischen Sie diese Kenntnisse und Erinnerungen in regelmäßigen Abständen auf.
Schwer zu erkennender polymorpher Virus
Ursprünglich als Banking-Trojaner konzipiert, hat sich Emotet in den vergangenen fünf Jahren zu einem Botnet entwickelt, das auch andere Angreifer bedient. Die Malware kann jederzeit weitere (Banking-)Trojaner installieren und Updates empfangen. Es werden Passwörter und Daten ausgelesen, beispielsweise aus dem Browser, sowie Benutzerkonten attackiert.
Emotet ist zudem ein polymorpher Virus, sein Code wird nach unseren Beobachtungen normalerweise dreimal täglich geändert. Auch virtuelle Umgebungen und Sandbox-Umgebungen werden erkannt – und erschweren wiederum seine Erkennung. Lokale Virenscanner können damit an ihre Grenzen stoßen, wir empfehlen zusätzlich die Absicherung Ihrer E-Mail-Gateways. Achten Sie unbedingt auch darauf, Sicherheitslücken in Ihrer Hard- und Software zu patchen, da auch bekannte Systemschwachstellen zur Verbreitung des Trojaners genutzt werden.
Ist es trotzdem passiert, trennen Sie infizierte Rechner sofort vom Internet und allen Netzwerken. Bereinigen Sie das System und beseitigen Sie die Schwachstellen. Infizierte Geräte sollten neu aufgesetzt werden, da der Spuk ansonsten schnell wieder von vorne losgeht. Hilfe bei Prävention wie Infektion bietet das IKARUS Support Team unter +43 1 58995-400 oder support@ikarus.at.
*Um Verwechslungen vorzubeugen, haben wir auch die Domain www.lkarus.at (mit einem kleinen „L“ statt einem großen „i“) gekauft und auf unsere Website www.ikarus.at weitergeleitet.
Linktipps:
Spear Phishing-Kampagnen erkennen und abwehren