Die Cybergang hinter der hoch entwickelten Schadsoftware Emotet ist bekannt für längere Pausen. Die Cyberkriminellen gehen allerdings seit Monatsanfang wieder auf Opfersuche. Vor ungefähr zwei Wochen haben IT-Sicherheitsforscher von Cofense beobachtet, dass Emotet wieder aktiv wird. In den E-Mail-Posteingängen seien bösartige E-Mails mit unverschlüsselten ZIP-Dateien im Anhang gelandet.

Es scheint sich bei den E-Mails um Antworten auf bereits existierende E-Mail-Verläufe zu handeln, wie bei Emotet nicht ungewöhnlich. Die Cofense-Mitarbeiter erläutern, dass sie sich thematisch meist um Finanzen und Rechnungen drehen.

Zum Entpacken der bisher genutzten ZIP-Dateien wird kein Passwort benötigt. Sie erhalten Office-Dokumente mit bösartigen Makros; vor einer Ausführung müssten Empfänger aber "Inhalte aktivieren". Anschließend laden diese nach dem Start dann den Emotet-Schädling als .dll-Datei herunter. In einem Blog-Eintrag schreiben die IT-Forscher, dass sie noch keine Einschätzungen zur Dauer der Kampagne abgeben konnten.

Das Sicherheitsunternehmen Malwarebytes berichtet, dass die Emotet-Drahtzieher jetzt auf OneNote-Dateianhänge in E-Mails setzen, um Hürden und Einschränkungen zu umgehen. Die OneNote-Datei enthält die falsche Benachrichtigung, der zufolge das Dokument geschützt sei. Doppelklicken Nutzer auf die Schaltfläche "View", reicht das die Klicks stattdessen durch und startet ein eingebettetes Skript, welches stark verschleiert sei und den Emotet-Schädling aus dem Netz herunterläd.

Microsoft soll inzwischen an besserem Schutz vor Phishing mittels OneNote-Dateianhängen arbeiten.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE