Nach fünfmonatiger Pause

Emotet kehrt zurück

21. Juli 2020, 6:48 Uhr | Daniel Dubsky
© Denys Rudy - AdobeStock

Lange war es ruhig um Emotet, einen der vielseitigsten und erfolgreichsten Schädlinge der vergangenen Jahre. Jetzt wird er wieder in großem Stil verteilt.

In der vergangenen Woche haben die Sicherheitsexperten von Malwarebytes und Proofpoint eine Spam-Kampagne entdeckt, mit der die Malware »Emotet« verbreitet wird. Die existiert zwar schon seit 2014, hatte aber vor allen in den letzten beiden Jahren für viel Wirbel gesorgt, da sie sich immer geschickter tarnte und es damit schaffte, viele Firmen zu infizieren. Unter anderem durchforstete sie die Mails ihrer Opfer, um die eigenen, zur Weiterverbreitung gedachten Nachrichten wie Antworten innerhalb einer normalen E-Mail-Konversation aussehen zu lassen.

So ist es auch bei der aktuellen Kampagne, die hauptsächlich Anwender in den USA und in Großbritannien attackiert. Mehr als eine Viertel Million Mails mit dem Schädling – in einem präparierten Word-Dateianhang versteckt oder verlinkt auf einer Website – registrierte Malwarebytes bis Ende der vergangenen Woche. Wie in der Vergangenheit wurde nach erfolgreicher Infektion auch Schadcode von Drittanbietern geladen, zusätzlich zu den Emotet-Modulen für den Spam-Versand, die Ausbreitung über lokale Netze, das Stehlen von Zugangsdaten und das Sammeln von Mail-Adressen.

Typisch für Emotet war immer, dass die Malware in Wellen versandt wurde. Stets gab es längere Pausen, etwa über die Weihnachtsfeiertage. Dieses Mal dauerte die Auszeit gut fünf Monate, wobei ohnehin nicht die Frage gewesen sei, »ob«, sondern nur »wann« der Schädling zurückkehren würde, heißt es bei Malwarebytes. Die Gruppe TA542, die mutmaßlich hinter Emotet steht, war »161 Tage lang abgetaucht« und ist nun wieder da, »als sei nichts gewesen«, sagt Sherrod DeGrippo von Proofpoint. Die Malware nutze die gleichen Tricks wie früher und werde sogar über dasselbe Botnet verteilt, nicht einmal aktuelle Ereignisse wie Corona oder anderen Themen rund um die Pandemie würden als Köder genutzt.

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Malwarebytes

Weitere Artikel zu Proofpoint

Weitere Artikel zu RZ-Dienstleistung

Matchmaker+