Das gefährliche Emotet-Botnetz nimmt E-Mail-Aktivität wieder auf
von Tina Siering
Die Rückkehr von Emotet 2023
Es kommt erneut zu erfolgreichen Kompromittierungen durch die berüchtigte Malware Emotet. Nach mehreren Monaten der Inaktivität nahm das Botnetz am 07.03.2023 seine E-Mail-Aktivität wieder auf! Einige IT-Sicherheitsexperten bezeichneten die Schadsoftware als die gefährlichste Malware der Welt. Tatsächlich waren die in der Vergangenheit verursachten Schäden enorm. Jetzt nutzt die Malware wiederholt Schwächen in Microsoft Office aus – die aktuelle Verbreitung geschieht über E-Mails mit maliziösen Microsoft Word- und Excel-Anhängen. Werden diese Dokumente geöffnet und sind Makros aktiviert, wird die Emotet-DLL erfolgreich in den Arbeitsspeicher heruntergeladen.
Am 07.03.2023 meldete das Cybersicherheitsunternehmen Cofense und die Emotet-Tracking-Gruppe Cryptolaemus, dass die Malware wieder aktiv ist und infizierte E-Mails mit angehängten ZIP-Dateien versendet, die nicht passwortgeschützt sind. Die ZIP-Anhänge enthalten bis zu 500 MB große Word-Dokumente, die AV-Lösungen das erfolgreiche Scannen und Erkennen der Malware erschweren sollen.
Die angehängten Dateien sind als Rechnungsdokument getarnt. Tatsächlich enthalten sind MS Office-Dokumente mit schädlichen Makros, die wiederum die Emotet-DLL nachladen und ausführen. Die Word-Dokumente verwenden die "Red Dawn"-Dokumentvorlage von Emotet. Diese fordert den Benutzer auf, den Inhalt des Dokuments zu aktivieren, damit es korrekt angezeigt wird.
Die Malware dient mutmaßlich zur Entwendung von E-Mail- und Kontaktdaten der Opfer, um sie für zukünftige Emotet-Attacken zu nutzen. Zudem könnte sie verwendet werden, um zusätzliche Payloads wie Cobalt Strike oder andere Malware Komponenten einzuschleusen, die in der Regel zu Ransomware-Angriffen führt. Derzeit scheint das Angriffsvolumen noch gering zu sein. Vermutlich konzertieren sich die Angreifer in dieser (frühen) Phase auf das Sammeln neuer Anmeldedaten und Kontakte.
Nach dem Download wird Emotet in einem zufällig benannten Ordner unter %LocalAppData% gespeichert und mit der Datei regsvr32.exe gestartet für weitere Command-and-Control-Serverkommunikation. Diese dient der Erweiterung der Angriffsrechte der Bedrohungsakteure und der weiteren Ausbreitung im infiltrierten Netzwerk.
Standardmäßige Makro-Deaktivierung durch Microsoft könnte die Verbreitung beeinträchtigen
Emotet scheint aktuell ein neues Botnet aufzubauen. Es ist jedoch zu vermuten, dass die beschriebene Methode eventuell nicht so erfolgreich sein wird, wie vergangene Angriffswellen. Grund ist ein Microsoft Update im Juli 2022: VBA Makros aus dem Internet werden seitdem standardmäßig in Office blockiert und deaktiviert.
Aufgrund dieses Updates werden User, die ein Emotet-Dokument zu öffnen versuchen, gewarnt, dass die Makros deaktiviert sind, weil die Quelle der Datei nicht vertrauenswürdig ist. Die meisten Empfänger der Emotet-E-Mails werden somit wahrscheinlich davor geschützt, Makros irrtümlich zu aktivieren, es sei denn es wird gezielt versucht. Trotzdem sollte man unbedingt wachsam bleiben: die Bedrohungsakteure könnten bei „vermeintlichem Misserfolg“ andere Dateiformate für die maliziösen E-Mail Anhänge verwenden.
Noch ist unklar wie lange die aktuelle Angriffswelle dauern wird. Während Emotet in der Vergangenheit als die am weitesten verbreitete Malware galt, hat sich seine Verbreitung allmählich verlangsamt, wobei die letzte Spam-Kampagne im November 2022 stattfand und gut 2 Wochen andauerte.
Allgeier secion-Kunden mit einem aktiven Managed Service Vertrag für Active Cyber Defense werden selbstverständlich separat über maliziöse Kommunikation auf ihren Systemen informiert.
Wichtiger Hinweis: Malware verbreitet sich nun über OneNote-Dokumente
Update 20.03.2022
Die Emotet-Malware wird jetzt auch über Microsoft OneNote-E-Mail-Anhänge verbreitet, um die Sicherheitsbeschränkungen von Microsoft zu umgehen! Der Wechsel zu dieser Verbreitungsmethode ist höchstwahrscheinlich darauf zurückzuführen, dass es Microsoft gelungen ist, die ursprüngliche Taktik durch das Blockieren von Makros vermehr
unterbinden.