Emotet infiziert wieder Windows-Rechner

Die altbekannte Phishing-Schadsoftware Emotet weitet nach Beseitigung eines Fehlers, der eine Infektion angegriffener PCs verhinderte, seine Angriffe weltweit wieder aus.

Von den Sicherheitsforschern von Cryptolaemus kommt die Erkenntnis, dass der Anhang der letzten Emotet-Phishing-Mails fehlerhaft war und das Öffnen der Anhänge deshalb nicht zu einer Infektion mit Schadcode führte.

Mittlerweile haben die Hintermänner der weltweit wieder durchstartenden Kampagne den Fehler aber beseitigt und Emotet ist erneut auf dem Vormarsch.

Seit Anfang 2022 tritt Emotet wieder häufiger auf und zielt darauf, Windows-PCs zu infizieren. Sicherheitsforscher von Kaspersky bestätigten dazu, dass sie im Februar schon gut 3.000 Mails mit Emotet im Anhang beobachtet haben. Im März sollen es dann mit 30.000 schon zehnmal so viele gewesen sein. Als Basis für den Emotet soll ein ausgebautes Botnet dienen, das die Installer auf 64-Bit-Basis verteilt.

Emotet wurde reaktiviert

Bei der aktuellen Emotet-Kampagne ist ein passwortgeschütztes Zip-Archiv im Anhang der Phishing-Mails. Das dazugehörige Passwort steht im Body der Email. Lässt sich ein Opfer dazu verleiten, den Anhang zu öffnen, findet er darin eine vermeintliche Word-Datei, die in Wirklichkeit eine Windows-Dateiverknüpfung (.lnk) ist.

Nach einem Doppelklick sollte dann eigentlich ein Visual-Basic-Script (VBS) starten, um den Schadcode auf den Computer zu bringen. Wegen der fehlerhaften Verknüpfung ist das aber nicht passiert, berichtet Cryptolaemus auf Twitter. Mittlerweile soll dieser Fehler aber wieder behoben worden sein und Emotet ist aktuell wieder infektiös.

Es kann bei der Erkennung einer Phishing-Mail von Emotet hilfreich sein, dass die Sicherheitsforscher von Cofense die Dateinamen von Emotet-Anhängen der aktuellen Kampagne aufgelistet haben:

• form.zip
• Form.zip
• Electronic form.zip
• PO 04252022.zip
• Form – Apr 25, 2022.zip
• Payment Status.zip
• BANK TRANSFER COPY.zip
• Transaction.zip
• ACH form.zip
• ACH payment info.zip

Eine sehr gefährliche Malware

Emotet tauchte zuerst 2018 auf und weist diverse Schadfunktionen auf. Einmal installiert, kann der Schädling zum Beispiel weitere Trojaner nachladen, sich tief ins Netzwerk eingraben und sogar auch Hintertüren installieren.

Üblicherweise versucht die Malware mit gut gemachten Phishing-Mails auf die Computer zu kommen. Dafür benutzen die Hintermänner häufig ausgespähte Interna von Firmen, beispielsweise um mit ihren Emails an real existierende Projekte anzuknüpfen.

Das wirkt deutlich glaubhafter und soll die Opfer dazu verleiten, den Dateianhang zu öffnen, der dann den Schädling herunterlädt. Ganz allgemein gilt ja schon immer, dass man nicht ohne nachzudenken auf Links in Emails klicken oder irgendwelche angehängten Dateien öffnen sollte.

Ersten Tiefschlag überwunden

Anfang 2021 gelang den Strafverfolgern ein großer Schlag gegen die Malware-Infrastruktur und es wurde längere Zeit recht still um Emotet. Allerdings ist der Schädling seitdem nie ganz verschwunden und tauchte immer mal wieder auf.