2068310

Banking-Malware Emotet sucht deutsche Opfer

10.04.2015 | 14:30 Uhr |

Das Trojanische Pferd Emotet zielt auf deutsche Bankkunden. Es wird mit Spam-Mails verbreitet, die wie Rechnungen oder Mitteilungen deutscher Dienstleister aussehen.

Bereits seit Jahren werden in Wellen Spam-Mails verschickt, die Malware enthalten oder einen Download-Link. Einer der Schädlinge, die auf diese Weise verbreitet werden, wird „Emotet” genannt. Zunächst meldete Trend Micro im Sommer 2014 die Entdeckung dieses Trojanischen Pferds, das Bankdaten ausspioniert. Seitdem hat Emotet eine Entwicklung durchlaufen, die auch Kaspersky Lab aufmerksam verfolgt hat.

Emotet kommt mit Spam-artig verbreiteten Mails in die Postfächer deutscher und österreichischer Anwender. Diese sind inzwischen täuschend echt wirkende Nachahmungen von Mails, wie sie auch von deutschen Unternehmen wie DHL oder der Telekom stammen könnten. Es sind zum Beispiel vorgebliche Telefonrechnungen oder Benachrichtigungen über Paketzustellungen.

Im Anhang der Mails ist eine ZIP-Datei oder die Mails enthalten einen direkten Download-Link. In dem ZIP-Archiv befindet sich eine EXE-Datei mit einem recht langen Namen, sodass die Endung „.exe” nicht auffällt. Als Dateisymbol erscheint meist eines, das auf ein PDF-Dokument hindeuten soll. Wird das vermeintliche Dokument geöffnet, nistet sich das verschlüsselte Emotet Haupt-Modul im System ein und lädt weitere Malware-Komponenten aus dem Internet herunter.

Kaspersky Lab hat in seinem deutschsprachigen Blog eine sehr ausführliche Analyse des Schädlings und seiner Evolution veröffentlicht. Daraus geht hervor, dass Emotet mittlerweile ein komplexes, modulares Tatwerkzeug ist, das auf Kunden deutscher Banken abzielt. Die aktuelle Emotet-Version richtet sich zudem auf Kunden Schweizer Banken. Die Kommunikation des Schädlings mit seinem Mutterschiff, der Steuerungszentrale, erfolgt verschlüsselt; die Antworten des Servers sind digital signiert.

Emotet-Module

Name

Beschreibung

Art des Transports auf das infizierte System

loader

Downloader

In Spam-Mails oder mittels Download über einen Link auf kompromittierte Websites (im Fall von Updates)

nitol-like-ddos-module

DDoS-Bot

email_accounts_grabber

Stiehlt E-Mail-Accounts, verwendet Mail PassView, eine legitime Software zur Wiederherstellung vergessener Passwörter für E-Mail-Konten

Wird mit dem Modul „loader“ im Antwort-Paket von dem Steuerungszentrum geliefert

banker

Modul zur Modifizierung des HTTP(S)-Datenverkehrs

Wird mit dem Modul „loader“ im Antwort-Paket von dem Steuerungszentrum geliefert

outlook_grabber

Modul zum Diebstahl des Outlook-Adressbuchs

Wird mit dem Modul „loader“ im Antwort-Paket von dem Steuerungszentrum geliefert

Emotet spioniert Bankdaten aus, indem es in den Datenverkehr zwischen Browser und Bank-Website eingreift. Dabei fügt der Schädling eigene HTML- und Javascript-Elemente ein. Diese sind auf die jeweilige Bank abgestimmt. Das Opfer wird mit einer Meldung konfrontiert, die Bank habe ein neues Sicherheitssystem installiert. Er soll eine kurze Schulung im Demo-Modus absolvieren, in deren Verlauf er eine vorgebliche Testüberweisung mit einer echten Transaktionsnummer (TAN) ausführen soll.

Zum Abschluss gratuliert das injizierte Script dem Opfer zur „erfolgreich bestandenen Prüfung“. Es hat allerdings im Hintergrund eine reale Überweisung auf ein Konto eines Strohmannes ausgeführt. So umgeht Emotet mittels „social engineering” die Zwei-Faktor-Authentifizierung mit Chip-TAN oder SMS-TAN.

Emotet ist letztlich nur ein Beispiel für eine Vielzahl aktuell eingesetzter Schädlinge, die auf Bankkunden zielen. Wenn Sie eine Mail erhalten, die eine ZIP-Datei oder einen Download-Link enthält, brechen Sie an dieser Stelle die Bearbeitung der Mail ab, öffnen Sie keinesfalls den Anhang, klicken Sie nicht auf den Link. Verlassen Sie sie sich nicht darauf, dass Ihr Antivirusprogramm einen Schädling schon erkennen wird.

Wenn Sie etwa eine (vorgebliche) DHL-Mail bekommen und zufällig gerade ein Paket erwarten, prüfen Sie das Link-Ziel auf Plausibilität. Überprüfen Sie mit einer Whois-Abfrage , ob die Domain wirklich zu DHL gehört. Meist sind die benutzten Domains erst vor wenigen Tagen auf den Namen eines Strohmanns registriert worden.

Video: Die unglaublichsten Sicherheitslücken im Internet
0 Kommentare zu diesem Artikel
2068310