Kampf gegen Malware: Unbekannte ersetzen Emotet gegen animierte Bildchen

Seit letzter Woche schwächen anonyme Hacker die Infrastruktur des unlängst zurückgekehrten Emotet, indem sie den Schadcode durch GIFs ersetzen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 74 Beiträge

Gar nicht bedrohlich: Unbekannte ersetzen die Emotet-Payload auf gehackten Websites durch animierte GIF-Dateien wie diese.

(Bild: giphy.com (Bildausschnitt))

Von

Infektionen mit der Malware Emotet starten meist mit einem präparierten Word-Dokument, das via VBA-Makro-Code den eigentlichen Schädling aus dem Internet nachlädt. Oder mit einem getarnten Link in einer Spam-Mail, der zum Schadcode führt. Zum Hosten der Malware dienen in beiden Fällen häufig gehackte WordPress-Instanzen, die von ihren Betreibern längere Zeit nicht aktualisiert wurden und sich daher leicht von den Gangstern übernehmen lassen.

Diese immer ähnliche Vorgehensweise machen sich Unbekannte mindestens seit vergangener Woche zunutze, um die Emotet-Infrastruktur zu schwächen: Sie ersetzen die Emotet-Payload in gehackten WordPress-Installationen durch animierte Bilder im GIF-Format.

Die Sicherheitsforscher dokumentierten die GIF-Varianten per Tweet.

(Bild: Twitter)

Sicherheitsforscher Kevin Beaumont hatte bereits 2019 angemerkt, dass Emotets Verbreitungsmethode sehr unsicher sei. Um den Schadcode auf die WordPress-Websites zu schleusen, verwende die Emotet-Gang eine fertige Open Source-Webshell von GitHub – und zwar immer mit dem gleichen Passwort. Jeder könne die Payload ändern, twitterte Beaumont damals.

Beaumont gehört auch zu jenen, die das Geschehen der letzten Tage verfolg(t)en: Am vergangenen Donnerstag berichtete er, dass derzeit etwa ein Viertel aller von ihm beobachteten Payloads innerhalb kurzer Zeit durch GIFs ersetzt würden. Das Hackerteam "Cryptolaemus" machte ähnliche Beobachtungen.

Auch den Tweets weiterer Forscher war zu entnehmen, dass die ungewöhnliche Emotet-Gegenmaßnahme dem Botnetz wohl tatsächlich zu schaffen machte. Forscher Joseph Roosen von Cryptolaemus merkte allerdings auch an, dass die Wahrscheinlichkeit, dass das Emotet-Team als Konsequenz seine Webshells demnächst besser absichere, recht hoch sei.

Lesen Sie auch

Ob die Emotet-Gang bereits entsprechende Schritte unternommen hat, ist nicht bekannt. Das Cryptolaemus-Team beobachtete am heutigen Montag jedenfalls eine Stabilisierung der Emotet-Infrastruktur. Ob Emotet beziehungsweise der als "Ivan" bekannte Emotet-Admin die Schlacht um GIFs und Payloads tatsächlich gewonnen haben, wird sich zeigen.

(ovw)