Das CERT BWL informiert: Neue Emotet-Welle mit bisher unbekannter Infektionsmethodik  [21.07.20]

Nach monatelanger Inaktivität werden wieder vermehrt Emotet Infektionen registriert. Im Gegensatz zu vergangenen Infektionswellen, werden bei der aktuellen Welle bisher unbekannte mögliche Infektionsmethodiken beschritten.

Sachverhalt

Nachdem seit Anfang Februar 2020 kaum bis keine neuen Emotet-Aktivitäten verzeichnet wurden, ist zum 17.07.2020 eine neue Infektions- und Spam-Welle registriert worden. An der grundsätzlichen Infektionsmethodik hat sich zwar nichts geändert: In der Regel per E-Mail erhalten potentielle Empfänger Microsoft-Office-Dokumente oder Links zu solchen mit der Bitte, diese zu öffnen. Sind auf dem Zielrechner Makros erlaubt, aktiviert dies die im Dokument enthaltenen infizierten Makros, die dann Emotet selbstständig installieren.

Neu ist allerdings, dass die bösartigen Dokumente URLs verwenden, die häufig gehackte WordPress-Sites sind. Neben den bisher verwendeten doc-Dateien wurden auch pdf-Dateien als bösartige Anhänge der derzeitigen Welle identifiziert. Darüber hinaus ist die derzeitige Infektionswelle von einer neuen Methodik gekennzeichnet. Auf dem PC wird nun angezeigt, dass das Dokument nicht ordnungsgemäß geöffnet werden kann, da es angeblich unter iOS erstellt wurde. Wer diese Fehlermeldung anklickt, öffnet die Tür für den Trojaner.

Bisher ist die Meldung zur vermeintlichen Erstellung des Dokuments in iOS nur in Englisch zu finden, es dürfte aber nur eine Frage der Zeit sein, bis ein entsprechender Hinweis auf Deutsch auch angezeigt wird.

Bewertung

Zwar nutzt die aktuelle Emotet-Welle einen bislang unbekannten Hinweis, der zum Öffnen von Dateien bzw. Aktivieren von Inhalten verleiten soll. Dennoch bleiben die zugrundeliegenden Infektionsmechanismen dieselben wie in der Vergangenheit (Aktivierung von Inhalten, Anklicken schadhafter Links, Nachladen von Schadsoftware).

Empfehlung

Prüfen Sie E-Mails mit Anhängen oder Links genau. Versichern Sie sich gegebenenfalls bei dem vermeintlichen Absender telefonisch, ob er Ihnen eine diesbezügliche E-Mail geschickt hat.

Klicken Sie bei E-Mails von vermeintlich bekannten Absendern, auch wenn deren Betreff und Text zunächst plausibel erscheinen, unter keinen Umständen auf den Link und öffnen Sie keine Dateien aus dem Anhang derartiger E-Mails, die Sie nicht zuordnen können.

Versuchen Sie nicht Inhalte bzw. Makros nach einer Aufforderung des Programms zu aktivieren und werden Sie skeptisch, wenn der Hinweis erscheinen sollte, dass Dokumente vermeintlich unter iOS erstellt wurden.

Sollte Ihnen eine E-Mail verdächtig erscheinen, wenden Sie sich bitte umgehend an das KIM.

Zurück zu Alle News