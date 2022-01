Trotz der kürzlichen Wiederauferstehung der Emotet-Cybergang nach der Zerschlagung ihres Botnetzes Anfang vergangenen Jahres blieb es relativ ruhig um die ehemals "gefährlichste Malware der Welt". Derzeit spielt Emotet im Ransomware-Geschehen keine bedeutende Rolle mehr. Das könnte sich ändern: Am gestrigen Mittwochabend gab es aus den Emotet-Botnetzen einen starken Anstieg an Spam-Mails mit bösartigen Dateianhängen.

Spam-Schleudern

Die Forscher von Cryptolaemus haben ein extremes Aufkommen von Spam aus den neuen Botnetzen von Emotet beobachtet. Dabei setzen die Botnetzbetreiber die schon bekannten Social-Engineering-Tricks ein: Zumindest ein Teil der Mails sieht wie eine scheinbare Antwortmail eines bekannten Absenders aus. Mit Office-Datei-Anhang, den Empfänger bitte öffnen sollen.

Cryptolaemus schreibt, dass die Köder-Mails in mehreren Sprachen verfasst seien. Als Dateianhänge fanden sie sowohl direkt angehängte Excel-Tabellen als auch passwortgeschützte ZIP-Archive – ein Versuch, an Mailfiltern vorbeizukommen.

Beim Öffnen der Excel-Dateien erscheint die Aufforderung "Inhalt aktivieren" anzuklicken, was die Ausführung von Makros gestattet. Diese laden dann weiteren Schadcode aus dem Internet nach und infizieren das System. Um die IP-Adressen etwa vor Filtern oder Antivirensoftware zu verschleiern, sind sie in oktaler statt dezimaler Notation angegeben – anstatt 127.0.0.1 also beispielsweise 0177.0.0.01.

Der Twitternutzer neoxmorpheus hat Screenshots von solchen Emotet-Mails eingestellt.

Rückkehrversuch

Die Emotet-Gang versucht offenbar ein Comeback. Doch dass Emotet seine herausragende Position im Ransomware-Geschäft zurückerobern kann, ist eher unwahrscheinlich. Denn es ist nicht so, dass die anderen Kriminellen nur auf deren Rückkehr gewartet hätten, im Gegenteil. Andere Gangs haben zügig die entstandenen Lücken im Versorgungsnetz der Cybercrime-Infrastruktur gefüllt. Die Konkurrenz hat längst aufgeholt und in vielen Bereichen sogar noch eine Schippe draufgelegt

Trotzdem ist es ein guter Zeitpunkt, an den sicheren Umgang mit Mail-Anhängen und insbesondere mit Office-Dateien zu erinnern. Denn die Emotet-Mails sehen teilweise täuschend echt aus und können unvorbereitete Anwender in die Irre führen. Zudem können Administratoren die regelmäßig aktualisierten Adressen der Command&Control-Server anhand der Liste von Feodo-Tracker etwa in Perimeter-Firewalls sperren, damit ein potenzieller Befall zumindest Alarm auslöst.

(dmk)