Ein Update von Microsoft – mit Sicherheit nicht!

Stell dir vor, Du erhälst eine E-Mail von Microsoft in welcher geschrieben steht, dass Du dein Microsoft Office updaten sollst, damit Du die neusten Features verwenden kannst. Klingt verlockend, denn die neuen Features könnten beispielsweise deine Arbeit erleichtern und sind zudem ist es ein kostenloses Update.
Nachdem Du dann die im Anhang befindliche Word Datei geöffnet hast, ist es zu spät – Du hast dir den berüchtigten Trojaner namens Emotet auf deinen Computer geholt.
Dieser Banking-Trojaner stellt seit Jahren eine Belastung für Wirtschaftsunternehmen und staatliche Institutionen dar.
Da er in unterschiedlichsten Variationen auftritt, sind die Folgen eines Angriffs stets verheerend. Das US-amerikanische National Cybersecurity und Communications Integration Center bezeichnete Emotet als „eine der kostenintensivsten und zerstörerischsten Malwares, die sich auf staatliche, private und öffentliche Sektoren auswirkt“.

 

Wie richtet Emotet Schaden an?DIESEC - Blog - Ein Update von Microsoft – mit Sicherheit nicht!

Emotet hat es auf finanzielle Informationen der infizierten Computer abgesehen.
Er agiert verdeckt im Hintergrund und sammelt außerdem Bankdaten, andere Anmeldedaten sowie Passwörter.
Weiter wird Emotet auch als Downloader anderer Malware auf dem jeweiligen Computer verwendet. Auf diese Weise fungiert dieser als kompromittierter Ausgangspunkt für weitere „Infektionen“.
Die Angreifer können nun den infizierten Computer nach Belieben fernsteuern und im Grunde damit machen, was sie wollen.

 

Wie verbreitet sich Emotet?

Die Verbreitung besteht aus zwei Schritten: Dem Social Engineering und dem Einschleusen weiterer Malware.

Das erste Schritt ist der Inhalt der Phishing-E-Mails, die speziell erstellt wurden, um Benutzer zur Ausführung der infizierten Datei zu verleiten: In den vergangenen Angriffswellen kam Emotet in Form von Dokumenten, bspw. einer Rechnung, eines Briefes von DHL und Informationen über COVID-19 vor. Die neusten Angriffsversuche tarnen sind als Windows- oder Microsoft Word-Updates.
Der zweite Schritt ist der Inhalt des angehängten Dokumentes aus dem ersten Schritt. Dieses enthält tückische Makros, welche beim Öffnen des Dokumentes ausgeführt werden und Emotet auf dem Computer des Opfers startet.

 

Wie funktioniert Emotet?

Die Malware ist auf den unwissenden Nutzer angewiesen, dass dieser den Prozess initiiert. In diesem Fall reicht es aus wenn die Makros in Word standartmäßig auf „Zulassen“ eingestellt sind.

Anschließend führt Emotet einen Shellcode aus, welcher eine Datei von den Servern der Angreifer herunter läd. Nach der Installation dieser wird ein Windows Dienst erstellt, welcher bei jedem Systemstart automatisch im Hintergrund startet.
Nun kommuniziert Emotet mit seinem Ursprungspunkt (Angreifer) und wartet auf weitere Instruktionen.
Wie bereits erwähnt, sind die Möglichkeiten auf dem infizierten PC des Opfers nahezu unbegrenzt: Vom einfachen Diebstahl üblicher Bankdaten oder Passwörtern bis zum völligen lahmlegen des Computers ist alles möglich,

Emotet hat leider die Besonderheit, sich vor Programmen für Anti-Malware „verstecken“ zu können. Außerdem ist es polymorph, wodurch es signaturbasierte Antiviren Software leicht umgehen kann. Außerdem verbreitet es sich in einem Netzwerk (bspw. in einer Firma) nicht nur auf dem Rechner, auf welchem es ausgeführt wurde, sondern infiziert das ganze Netzwerk.

 

Wie schütze ich mich vor Emotet?

Aktuell gibt es keine 100%ige Sicherheit, nicht mit Emotet in Berührung zu kommen.
Wir empfehlen daher, Dateien nur von bekannten und zuverlässigen Quellen herunter zu laden und alle Antiviren-Programme auf dem aktuellen Stand zu halten.
Außerdem sollten die Einstellungen für Makros überprüft und so die Möglichkeit eines automatischen Ausführens unterbunden werden. Die Einstellungen für Makros sind, anhand unseres Beispiels in Microsoft Word, in den dortigen Optionen zu finden.
Als letzten Tipp empfehlen wir keine Dokumente zu öffnen, bei welchen man sich nicht sicher sein kann, woher diese stammen.