Zeitweise galt Emotet als die gefährlichste Schadsoftware - Anfang des Jahres beschlagnahmten mehrere Behörden jedoch die Server des Emotet-Netzwerks und lieferten nur noch harmlose Updates aus. Die Emotet-Schadprogramme wurden im April diesen Jahres dann von infizierten Systemen gelöscht. Mit der Malware Trickbot inifizierte Maschinen haben nun jedoch damit begonnen, neue Emotet-Varianten zu verbreiten.

Laut GData haben die Trickbot-Drohnen am Sonntag damit angefangen, neue DLLs herunterzuladen - diese wurden von automatisierten Analysesystemen als Emotet klassifiziert. Manuelle Analysen haben dies bestätigt. Code und Arbeitsweise soll demnach den bekannten Emotet-Samples ähneln.

In der Vergangenheit gehörten insbesondere Phishing-Mails zu Emotets-Spezialität. Bei dem sogenannten Dynamit-Phishing erhalten ausgewählte Ziele personalisierte E-Mails, die scheinbar von Kollegen oder Geschäftspartnern stammen und sogar frühere E-Mails des Empfängers zitieren. Ziel ist es, den Empfänger zum Öffnen einer präparierten, angehängten Office-Datei zu verleiten.

Die neuen Emotet-Drohnen versenden Berichten zufolge ebenfalls bereits wieder Malware-Spam über E-Mail. Angehängt werden speziell präparierte Dokumente als .docm, xlsm oder passwortgeschützte ZIPs. Botnetz-Experten von abuse.ch empfehlen Admins das Blockieren der Command&Control-Server auf den Perimeter-Firewalls von Unternehmen. Eine Liste der IP-Adressen bekannter Emotet-Server wird hierzu gepflegt.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE