Emoted, das gefährlichste Botnetz der Welt, steht vor einem Comeback

| Redaktion 
| 09.07.2023

Sicherheits-Forscher:innen verfolgen Rückkehr des Schadprogramms, das sensible Informationen wie Kreditkartendaten stehlen und Malware von Drittanbietern auf infizierte Rechner übertragen kann.

Die Zerschlagung von Emoted vor rund zwei Jahren zählt zu den bisher erfolgreichsten internationalen Maßnahmen im Kampf gegen Cyberkriminalität. Doch nun scheint das berüchtigte Botnetz vor einem Comeback zu stehen. Denn Forscher:innen des Sicherheitsspezialisten ESET haben deutlich Hinweise auf eine Rückkehr gefunden.

Laut ESET tauchte Emotet bereits in mehreren Spam-Kampagnen auf. Zudem habe Mealybug, die Hackergruppe hinter dem Botnetz, zahlreiche neue Module entwickelt und bestehende überarbeitet. Die Drahtzieher:innen hinter Emotet hätten aus dem Takedown einiges gelernt und viel Zeit darin investiert, die Entdeckung ihres Botnetzes zu verhindern, so die Sicherheitsspezialist:innen. In seiner letzten Operation seien Ziele in Italien, Spanien, Japan, Mexiko und Südafrika attackiert worden.

Aktivitäten (vorerst) eingestellt

Doch seit April 2023 seien die Aktivtäten von Emotet eingestellt. Die ESET-Forscher:innen glauben jedoch nicht an eine Aufgabe. Vielmehr vermuten sie, dass die Hacker:innen nach neuen Angriffsvektoren suchen. Was die Expert:innen seit der Rückkehr festgestellt haben und wie es weitergeht könnte, zeigen sie in ihrer aktuellen Analyse auf WeLiveSecurity.

"Emotet verbreitet sich über Spam-Mails. Die Malware kann sensible Informationen von kompromittierten Computern stehlen und Malware von Drittanbietern auf diese übertragen. Die Betreiber von Emotet sind nicht sehr wählerisch, was ihre Ziele angeht. Sie installieren ihre Malware sowohl auf Systemen von Privatpersonen als auch von Unternehmen und größeren Organisationen", schreibt ESET-Forscher Jakub Kaloč, der an der Analyse mitgearbeitet hat.

Neuer Angriffsvektor

Von Ende 2021 bis Mitte des Jahres 2022 verbreitete sich Emotet ESET zufolge hauptsächlich über VBA-Makros in Microsoft Word- und Excel-Dokumenten. Im Juli 2022 habe Microsoft die Spielregeln für alle Malware-Familien wie Emotet und Qbot - die Phishing-E-Mails mit bösartigen Dokumenten als Verbreitungsmethode verwendet hatten - verändert, indem es VBA-Makros in Dokumenten deaktivierte, die aus dem Internet bezogen wurden.

Kaloč dazu: "Die Abschaltung des Hauptangriffsvektors von Emotet veranlasste seine Betreiber, nach neuen Wegen zu suchen, um ihre Ziele zu kompromittieren. Mealybug begann, mit bösartigen LNK- und XLL-Dateien zu experimentieren. Als das Jahr 2022 zu Ende ging, hatten die Betreiber von Emotet jedoch Schwierigkeiten, einen neuen Angriffsvektor zu finden, der so effektiv wie VBA-Makros ist. Im Jahr 2023 führten sie drei verschiedene Malspam-Kampagnen durch, die jeweils einen etwas anderen Weg des Eindringens und eine andere Social Engineering-Technik testeten."

Der schrumpfende Umfang der Angriffe und die ständigen Änderungen des Ansatzes könnten jedoch auf Unzufriedenheit mit den Ergebnissen hindeuten, so der Forscher. Später bettete Emotet einen Köder in Microsoft OneNote ein. Trotz der Warnungen beim Öffnen, dass diese Aktion zu bösartigen Inhalten führen könnte, hätten Nutzer:innen darauf geklickt.

Emotet wird weiterentwickelt

Nach seinem Wiederauftauchen erhielt Emotet mehrere Upgrades. Die bemerkenswertesten Merkmale waren, dass das Botnet sein kryptografisches Schema änderte und mehrere neue Verschleierungen implementierte, um seine Module zu schützen, heißt es in der Analyse. Die Betreiber:innen von Emotet hätten seit ihrer Rückkehr erhebliche Anstrengungen unternommen, um die Überwachung und Verfolgung ihres Botnets zu verhindern. Darüber hinaus hätten sie mehrere neue Module implementiert und bestehende Module verbessert, um profitabel zu bleiben.

Laut ESET wird Emotet über Spam-Mails verbreitet. Menschen würden diesen Nachrichten oft vertrauen, da die Kriminellen erfolgreich mit speziellen Techniken Gesprächsverläufe in E-Mails übernehmen. Vor dem Takedown verwendete Emotet Module, die wir Outlook Contact Stealer und Outlook Email Stealer nennen und die in der Lage waren, E-Mails und Kontaktinformationen aus Outlook zu stehlen. Da jedoch nicht jeder Outlook verwendet, habe sich Emotet nach der Rückkehr auch auf eine kostenlose alternative E-Mail-Anwendung konzentriert: Thunderbird. Darüber hinaus begann das Botnetz, das Google Chrome Credit Card Stealer Modul zu verwenden, das Informationen über Kreditkarten stiehlt, die im Google Chrome Browser gespeichert sind.

Ruhe vor dem Sturm?

Der ESET Telemetrie und dem Eindruck der Forscher:innen zufolge ist es um die Emotet-Botnets seit Anfang April 2023 ruhig geworden. Das sei wahrscheinlich darauf zurückzuführen, dass ein neuer effektiver Angriffsvektor gefunden wurde. Die meisten der von den Sicherheitsspezialisten seit Januar 2022 bis heute entdeckten Angriffe zielten auf Japan (43 Prozent), Italien (13 Prozent), Spanien (5 Prozent), Mexiko (5 Prozent) und Südafrika (4 Prozent) ab.

www.eset.com

Über Emotet

Emotet ist eine seit 2014 aktive Malware-Familie, die von einer als Mealybug oder TA542 bekannten Cybercrime-Gruppe betrieben wird. Zunächst agierte Emotet als Banking-Trojaner, entwickelte sich aber später zu einem Botnetz, das zu einer der größten Bedrohungen weltweit wurde.

Im Januar 2021 wurde Emotet im Rahmen einer internationalen Zusammenarbeit von acht Ländern, die von Europol und Eurojust koordiniert wurde, in einem begrenzten Umfang abgeschaltet. Im November 2021 kehrte Emotet zurück und startete erneut mehrere Spam-Kampagnen.

Im April 2023 fanden die Aktivitäten des Schadprogramms (vorerst) ein jähes Ende.

Kommentar schreiben

* Pflichtfelder.

Über Emotet

Emotet ist eine seit 2014 aktive Malware-Familie, die von einer als Mealybug oder TA542 bekannten Cybercrime-Gruppe betrieben wird. Zunächst agierte Emotet als Banking-Trojaner, entwickelte sich aber später zu einem Botnetz, das zu einer der größten Bedrohungen weltweit wurde.

Im Januar 2021 wurde Emotet im Rahmen einer internationalen Zusammenarbeit von acht Ländern, die von Europol und Eurojust koordiniert wurde, in einem begrenzten Umfang abgeschaltet. Im November 2021 kehrte Emotet zurück und startete erneut mehrere Spam-Kampagnen.

Im April 2023 fanden die Aktivitäten des Schadprogramms (vorerst) ein jähes Ende.

leadersnet.TV