Automatisierte Angriffe mit Trojaner Emotet

Mai 24, 2019 12:59 pm Veröffentlicht von

Emotet übernimmt bestehende Email-Kommunikation

Das LKA Niedersachsen warnt derzeit vor einer neuen Vorgehensweise bei Email-Angriffen: Der Trojaner kommt in einer Mail, die das Opfer erwartet.
Wie genau die Angreifer vorgehen, erklären wir Ihnen in diesem Artikel.

Außerdem geben wir Ihnen Tipps, worauf Sie zum Schutz vor Angriffen achten sollten.

 

 

Schon wieder Email-Angriffe

Dass Angriffe über Emails so häufig passieren, ist nicht verwunderlich. Immerhin weisen sie eine hohe Erfolgsrate auf, da sich ein Anwender mit der richtig zugeschnittenen Email durchaus täuschen lassen kann. Um allerdings weiterhin überzeugend zu wirken und Nutzer zum Interagieren mit den schädlichen Emails zu bewegen, erweitern, verändern und passen die Cyberkriminellen ihre Methoden regelmäßig an.

Der Trojaner Emotet war dabei in der Vergangenheit schon öfters der Liebling der Hacker, wenn es um Dynamite-Phishing ging. Im Januar war Emotet beispielsweise der Vorreiter für ausgeklügelte Angriffe mit den Schädlingen Trickbot und Ryuk. Dabei spionierte er die Postfächer der Opfer aus, um den Hackern die Möglichkeit zum Einschätzen des Ziels zu geben: Privatperson oder Unternehmen? Lukrativ oder uninteressant?

 

Emotet kapert Konversationen

Besonders überzeugend sind Spam- oder Phishing-Mails, wenn sie dem Opfer einen glaubwürdigen Kontext vorgaukeln können. Dafür müssen beispielsweise Informationen aus den Postfächern gesammelt werden, um Inhalte und Kontakte missbrauchen zu können. Hier kommt Emotet zum Einsatz. Mit den von Emotet gesammelten Informationen werden die Emails dann entsprechend angepasst. Da man dafür natürlich erst einmal einen Weg in ein Email-Postfach finden muss, gibt es auch Angriffswellen mit Emails, die weniger individualisiert sind. Bekannte Maschen sind dabei gefälschte Rechnungen und vermeintliche Bewerbungsmails.

Öffnet ein Nutzer in einem Moment der Unachtsamkeit einen infizierten Email-Anhang, kann der Schädling sein Unwesen treiben. Bei Angriffen mit Emotet lässt sich derzeit eine Veränderung feststellen:

Wird ein Rechner infiziert, verwenden die Angreifer Emotet als Bot. Dieser übernimmt den Mailverkehr und antwortet automatisch auf eingehende Emails. Dabei wird der Originaltext, wie auch häufig bei einer echten Email-Antwort, als Kopie der Nachricht beigefügt, ebenso wie ein Dokument mit infizierten Makros. Mit einem zusätzlichen Satz wird auf das Dokument hingewiesen und soll den Empfänger zum Öffnen desselbigen bewegen.

Da der Empfänger durchaus eine Antwort erwartet, ist er weniger misstrauisch als bei Nachrichten, die einfach so im Postfach landen. Entsprechend ist auch das Risiko eines erfolgreichen Angriffs hier also besonders hoch.

Einmal auf dem Rechner des Opfers angekommen, geht der Angriffs von vorne los. Jetzt übernimmt der Schädling das nächste Postfach. Zusätzlich bietet er den Angreifern die Möglichkeit, weitere Angriffsschritte durchzuführen, wie z.B. in jüngerer Vergangenheit das Herunterladen von Gandcrab.

 

Worauf sollten Sie achten?

Der Text der schädlichen Emails enthält Sätze, die folgendermaßen aussehen können:

  • Alle Angaben entnehmen Sie bitte dem angehängten angeforderten Dokument.
  • Eine Dokumentation befindet sich im Anhang.
  • Anbei erhalten Sie Ihre angeforderten Informationen für Ihre Unterlagen.
  • Im Anhang dieser E-Mail erhalten Sie Informationen zu Ihrem Vertrag.
  • Your statement is attached. Please remit payment at your earliest convenience.
  • Please remit payment at your earliest convenience.
  • Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen.

Es handelt sich dabei zwar um recht typische und zu erwartende Sätze für eine Antwort-Email, aber seien Sie trotzdem misstrauisch, wenn sich nicht noch weitere Informationen im Text befinden und nur auf ein angehängtes Dokument verwiesen wird.

Wenn Sie einen Anhang herunterladen und das enthaltene Dokument Sie zum Aktivieren von Makros auffordert, dann fahren Sie lieber nicht fort. Zur Sicherhheit können Sie bei Word das Zulassen von Makros auch generell verbieten.

 

Risikobegrenzung und Vorsorge

Es ist immer ratsam, über eine aktuelle technische Sicherheitslösung zu verfügen. Damit wird das allgemeine Risiko, Opfer eines Angriffs zu werden schon um einen großen Prozentsatz verringert. Allerdings helfen technische Lösungen nur begrenzt, wenn man als Nutzer den Schädling selber hereinlässt.

Machen Sie deshalb Ihre Mitarbeiter auf die schädlichen Emails aufmerksam und raten Sie ihnen, vorsichtig zu sein.

Auch wenn Sie einen erfolgreichen Angriff mit Emotet bei Ihnen feststellen, sollten Sie Ihre Geschäftspartner und Kunden warnen. Immerhin könnte von Ihrer Adresse aus jetzt der Schädling verbreitet werden. Neben dem Einleiten von technischen Maßnahmen zur Schädlingsbekämpfung ist es ratsam, den Vorfall auch bei der Polizei zu melden.

 

Wir helfen Ihnen bei der Vorsorge und im Notfall

Wir vom Kastl & Rieter IT-Service sind spezialisiert auf kleine und mittlere Unternehmen, die über keine Eigenen IT-Fachkräfte verfügen.
Um diesen Unternehmen aber trotzdem sicheres Arbeiten zu ermöglichen, bieten wir neben technischen Sicherheitslösungen auch Schulungen an, um Geschäftsführung und Mitarbeiter im sicheren Umgang mit Informationstechnik zu schulen und für die Gefahren im Internet zu sensibilisieren.

Das Risiko, einem Angriff mit Social Engineering zum Opfer zu fallen, wird damit erheblich minimiert.

Sollte es trotzdem mal zu einem erfolgreichen Angriff kommen, stehen wir Ihnen schnellstmöglich mit unserer Soforthilfe zur Seite.

Rufen Sie uns also gerne an ( 0221 / 630 6151 60 ) und vereinbaren Sie einen Beratungstermin. Oder schreiben Sie uns eine Nachricht über unser Kontakformular.

 

Wir freuen uns, Ihnen helfen zu dürfen!

Ihr Kastl & Rieter IT-Service

 

 

Quelle:
https://www.pcwelt.de/news/Polizei-warnt-Trojaner-versteckt-sich-in-Antwort-Mail-10595144.html