Wer dieser Tage im Dateianhang einer Mail ein gepacktes Archiv vorfindet, sollte besonders gut aufpassen: Darin könnte die hoch entwickelte Windows-Malware Emotet lauern.

Wie Microsoft auf Twitter berichtet, sollen solche Mails derzeit weltweit und in verschiedenen Sprachen unterwegs sein. An den als Arbeits- oder Rechnungsmails getarnten Nachrichten hängt ein mit einem Passwort geschütztes Archiv. Dieser Ansatz sorgt dafür, dass Antiviren-Software auf Mail-Gateways nicht in das Archiv gucken kann und somit die Bedrohung darin nicht sieht.

Der Text in der Mail bittet das Opfer darum, das Archiv mit dem in der Nachricht enthaltenen Passwort zu öffnen. Darin befindet sich ein Word-Dokument mit vermeintlichen weiterführenden Informationen zum Betreff der Mail.

Infektion nicht ohne Weiteres

Um eins gleich klarzustellen: Der alleinige Empfang der Mail und selbst das Öffnen des Archivs und im Anschluss des Dokuments hat noch keine Emotet-Infektion zufolge. Erst wenn ein Opfer die Makros im Word-Dokument aktiviert, kommt die Malware auf den Computer.

Wenig überzeugend: In der aktuellen Emotet-Welle verschickte Mails knüpfen im Betreff an Projekte aus 2013 an. (Bild: Microsoft )

Um das zu erreichen, tun die Kriminellen so, als wenn das Dokument mit Windows 10 Mobile oder Android erzeugt wurde. Um es lesen zu können, muss das Opfer den "Kompatibilitätsmodus" aktivieren. Doch diesen Modus gibt es gar nicht. Fällt das Opfer auf die Finte rein, aktiviert es die Makros im Dokument.

Emotet-Mails mit einem Blick enttarnen

In der Vergangenheit hing Emotet an Mails, die in der Regel sehr gut gefälscht waren und selbst Admins mussten zum Teil mehrmals hingucken, um den Schwindel aufzudecken. Dafür werteten die Emotet-Macher bereits kopierte Interna aus und strickten daraus maßgeschneiderte Betrüger-Mails mit gefährlichem Anhang. So waren in Unternehmen beispielsweise Mails im Namens des Chefs in Umlauf, die an bestehende Projekte anknüpften und so besonders glaubhaft wirkten.

Doch dieses Mal haben sich die Emotet-Macher offensichtlich keine große Mühe gegeben: Microsoft berichtet von Mails, die im Betreff und im Text an veraltetet Bestellungen oder Projekte aus beispielsweise 2013 und 2014 anknüpfen. Das lässt den Betrug schnell auffliegen.

(des)