Sicherheitsexperten warnen: Trojaner Emotet wird wieder aktiv genutzt

Mehrere Monate lang war es ruhig um den Trojaner Emotet geworden. Nun ist er zurück. Allein am 17. Juli 2020 wurden mehr als 250.000 Spam-Mails mit der Schadsoftware verschickt.

Die erneute Aktivität der Schadsoftware Emotet bestätigten Experten des IT-Sicherheitsunternehmens Proofpoint gegenüber der Redaktion des Magazins „ArsTechnica“. Erste Anzeichen auf eine erneute Nutzung des Trojaners hatte es bereits am 14. Juli 2020 gegeben. Bestätigungen dafür kamen auch von Spamhouse, Malwarebytes und Microsoft. Die meisten Empfänger der Trojaner-Mails wurden in Nordamerika, Mitteleuropa und Asien lokalisiert. Pausen zischen den einzelnen Kampagnen sind bei den Urhebern von Emotet normal. Durch die meistens mehrmonatigen Pausen sinkt das Gefahrenbewusstsein bei den Empfängern. So ist es möglich, immer wieder das Überraschungsmoment zu nutzen. Die Pause vor dem neuerlichen Auftauchen des Trojaners dauerte fünf Monate.

Trojaner Emotet erschleicht sich das Vertrauen der Empfänger

Im Gegensatz zur Verbreitung anderer Trojaner verwendet Emotet keine eigenen Absenderadressen. Stattdessen kommen gestohlene Zugangsdaten von Mailaccounts zum Einsatz. Von den Datendiebstählen muss nicht das Mailkonto des Empfängers betroffen sein. Die Mails werden so aufgebaut, dass sie aussehen, als kämen sie von bekannten Kontakten, mit denen eine regelmäßige Kommunikation stattfindet. Die Urheber von Emotet kopieren inzwischen Teile der erbeuten Daten aus vorherigen Kommunikationen in ihre Spam-Mails zur Verbreitung des Computerschädlings. Bei der Verwendung bekannter Absender sinkt auch die Wahrscheinlichkeit, dass die Mails von den Spam-Filtern blockiert werden. Durch die kopierten Teile bekannter Mails sind die Empfänger weniger misstrauisch und lassen sich leichter zu einem Klick auf die Links zu den Websites verleiten, bei deren Aufruf sich der Trojaner Emotet auf dem Rechner installiert.

Wie funktioniert der Trojaner Emotet?

In einem ersten Schritt installiert sich der Trojaner selbst. Er bleibt nach den Erfahrungen der Sicherheitsexperten oftmals lange unbemerkt, obwohl er nach und nach zusätzliche Schadsoftware auf dem befallenen System installiert. Bisher handelte es sich bei den nachgeladenen Modulen meistens um die Ransonware Ryuk sowie Trickbot. Ob das auch bei der aktuellen Verbreitungswelle so ist, lässt sich noch nicht zuverlässig einschätzen. Das Bundesamt für Sicherheit in der Informationstechnik schätzte bereits 2019 den Trojaner Emotet als sehr gefährlich ein. Er hat bereits die digitale Kommunikation zahlreicher Unternehmen und Behörden lahmgelegt und dazu geführt, dass vor allem Behörden häufig keine an Mails angehängte Office-Dokumente öffnen.

Quelle: ArsTechnica, BSI

About Author