Nach Monaten des Schweigens kommt Emotet mit einer neuen Malspam-Kampagne zurück

Bösartige E-Mail-Kampagne hat USA, UK, Deutschland, Polen und Italien im Visier und überträgt Schadsoftware-Lader Emotet

Forscher entdeckten Emotet-Kampagnen, die sich an Unternehmen, Regierungsinstitutionen und Einzelanwender auf der ganzen Welt richteten. Nachdem die Kampagnen zu Beginn des Sommers still lagen, brach am 22. August die Banking-Schadsoftware das Schweigen, als C2-Server aktiv auf Anfragen reagierten. Das Verhalten erregte die Aufmerksamkeit von Forschern, wodurch sie eine neue Kampagne entdecken konnten.

Der Malspam-Angriff nutzt hauptsächlich „Payment Remittance Advice“ und ähnliches als Betreffzeile. Sie zielt darauf ab, Menschen dazu zu bringen, Anhänge zu öffnen und bösartige Makros zu aktivieren. Hierdurch werden Befehle ausgelöst und Emotet von kompromittierten Webseiten heruntergeladen. In den meisten Fällen basieren die Seiten auf WordPress.

Eine Liste der Webseiten, die bei dieser jüngsten Schadsoftware-Kampagne von Emotet kompromittiert wurden:

• customernoble.com
• taxolabs.com
• www.mutlukadinlarakademisi.com
• www.holyurbanhotel.com
• www.biyunhui.com
• nautcoins.com
• keikomimura.com
• charosjewellery.co.uk
• think1.com
• broadpeakdefense.com
• lecairtravels.com.

Emotet-Schadsoftware wird stark: Zehntausende E-Mails im Visier

Laut vielen Berichten zielt die Schadsoftware fast 66.000 E-Mails an und verwendet 30.000 Domainnamen. Die Emotet-Trojanerkampagne, die hauptsächlich darauf abzielt, Opfer aus Deutschland und Polen zu infizieren, wurde erstmals am Montag entdeckt. Nach dem Erhalt gestohlener E-Mails versenden Virenersteller ihre Nachrichten mit ausführbaren Dateien, Downloadlinks und anderen bösartigen Komponenten, die Emotet übertragen.

Anschließend fungiert die Schadsoftware als Downloader für andere Bedrohungen, wie bspw. die Erpressersoftware Ryuk.

From home users all the way up to government owned domains. The sender list includes the same dispersion as the targets. Many times we’ve seen precise targeting using a sender who’s contact list appears to have been scraped and used as the target list for that sender. This would include b2b as well as gov to gov.

Emotet war zunächst ein Banking-Trojaner, der später neu geschrieben wurde, um als Schadsoftware-Lader zu fungieren. Das Emotet-Botnetz ist eines der größten Botnetze, und ein Comeback wurde bereits erwartet. Die Aktivitäten auf den Servern, welche bereits im August festgestellt wurden, führten jedoch zu einer völligen Wiederherstellung der Kommunikation mit den infizierten Bots und zur Maximierung der Größe des Botnetzes.

Verschiedene Befehle für Opfer aus verschiedenen Teilen der Welt

Die E-Mail-Benachrichtigung selbst enthält, wie bei Malspam üblich, eine Betreffzeile zum Thema Finanzen und scheint eine weiterführende E-Mail aus einem vorherigen Gespräch zu sein. Wie aus polnischen und deutschen Malspam-Stichproben ersichtlich ist, verwendet der Absender eines der folgenden Szenarien:

• Warnung über die Änderung der E-Mail-Adresse,
• Informationen über Rechnungen,
• Behauptung, dass es Probleme mit einer Rechnung gab.

Alle diese Szenarien werden verwendet, um den Empfänger davon zu überzeugen, das angehängte Dokument zu öffnen und den bösartigen Makrocode zu aktivieren.

Weitere Analysen ergaben, dass die Schadsoftware-Kampagne der jeweiligen Emotet-Variante einen E-Mail-Anhang liefert, der entweder eine Benachrichtigung von Microsoft Office enthält, die Angaben über die Lizenzvereinbarung macht, oder eine Warnung, dass eine vom Opfer verwendete Kopie von Word nach dem 20. September nicht mehr funktioniert. Solche Taktiken sind besonders hilfreich dabei, Menschen dazu zu bringen, Makros oder andere Inhalte bzw. die Installation von Emotet auf dem Computer zu erlauben.

Was die italienischen Opfer betrifft, so enthält die E-Mail die Betreffzeile „Numero Fattura 2019….“. Nach ihrer Aktivierung führen die Makros einen PowerShell-Befehl aus, der die URL einer gehackten Webseite nutzt, um dort das bösartige Payload abzurufen. Das Botnetz ist bereit, Unternehmen anzugreifen. Organisationen müssen sich folglich darüber im Klaren sein, dass Emotet wieder vollständig im Einsatz ist.