Erste Meldungen über neue Sichtungen vom Super-Schädling Emotet kamen Mitte November 2021 von der deutschen Sicherheitsfirma G Data. Der früher sehr aktive und gefährliche Virus hatte sich verändert, war aber eindeutig als der altbekannte Schädling zu identifizieren. Auch in der neuen Version tritt Emotet vornehmlich im Bundle mit der Schadsoftware Trickbot auf.
So funktionierten Emotet und Trickbot vor ihrer Stilllegung
Beide Schadprogramme begannen als klassische Banking-Trojaner und versuchten, die Zugangsdaten zu Konten und Kreditkartendaten auf befallenen Computern auszulesen und an die kriminellen Hacker im Hintergrund weiterzuleiten. Beide verabschiedeten sich jedoch recht bald von diesem Konzept und entwickelten sich weiter: Trickbot spezialisierte sich darauf, den befallenen PC unter seine Kontrolle zu bekommen.
Die Software blockiert dann den Virenscanner, liest Windows- und andere Passwörter aus, verschafft sich Administratorrechte und breitet sich anschließend von der ersten befallenen Maschine im gesamten Netzwerk aus. Sobald das geschafft ist, sehen sich die Hacker ihr Opfer genauer an. Sie studieren die Sicherheitsvorkehrungen und schätzen ab, ob sich das Unternehmen oder die Behörde für eine Erpressung eignet. Falls ja, laden sie meist eine Ransomware wie etwa Ryuk nach, um die Daten auf den Computern zu verschlüsseln und die Besitzer zu erpressen.
Emotet hingegen perfektionierte eine Technik, die heute als Dynamite Phishing bekannt ist: Sobald der Empfänger einer Mail den infizierten Anhang geöffnet hat, nistet sich der Virus wie ein normaler Trojaner auf dem Computer ein und lädt weitere Schadprogramme wie etwa Trickbot nach. Gleichzeitig aber, und das war das Neue an Emotet, greift er auf das Adressbuch des Mailprogramms zu und verschickt sich selbst an die dort gespeicherten Adressen. Doch nicht nur das: Emotet ist in der Lage, seine eigenen Nachrichten wie Antworten auf ältere Mails von Personen aus dem Adressbuch aussehen zu lassen. Teilweise baut er den Text der empfangenen Mails in seine eigenen Aussendungen ein, um sie vertrauenswürdig aussehen zu lassen. Damit löst der Virus einen Schneeballeffekt aus, der ihm in der Vergangenheit eine weite Verbreitung sicherte.
Diese Methode wendet Emotet auch in der neuen Variante an. Dass sie immer noch erfolgreich ist, zeigt ein Blick auf die Top-Ten-Liste der am weitesten verbreiteten Schadprogramme des Security-Anbieters Check Point: Im Januar 2022 erreichte Emotet dort den ersten Platz.
In der Vergangenheit trat Emotet als Türöffner auf, der auf den befallenen Computern andere Schadprogramme wie Trickbot nachlud. Mittlerweile hat ein Rollentausch stattgefunden: Nun ist es Trickbot, der den ersten Kontakt herstellt und in der Folge Emotet nachlädt, um weitere Phishing-Attacken zu starten. Laut Sicherheitsexperten reagieren die Hacker mit dem Rollentausch auf die Zerschlagung der Infrastruktur von Emotet im vergangenen Jahr. Stattdessen nutzen sie nun die Trickbot-Server, um die Software zu verbreiten.
Alternativen zu Kaspersky : Die besten Antivirus-Tools im Test
So konnte das erste Emotet-Netzwerk gestoppt werden
Um das Netz der Emotet-Server lahmzulegen, arbeiteten ab 2018 Polizeibeamte aus den Niederlanden und Deutschland mit Europol zusammen, der Polizeibehörde der Europäischen Union. Hinzu kam Unterstützung durch Behörden in England, Frankreich, Kanada, Litauen, in der Ukraine und den USA. Entscheidend für den (vorläufigen) Sieg über Emotet war ein Fehler der Hacker bei einem Server in Brasilien. Den hatten sie kurz zuvor übernommen und in ihr Botnetz integriert, dabei jedoch vergessen, die Logfiles zu löschen. So war es den Ermittlern möglich zu verfolgen, mit welchen anderen Servern er kommunizierte. Von diesen Servern führte der Weg zu weiteren Knoten im Emotet-Netzwerk. Nach und nach gelang es so, dessen Struktur zu entwirren.
Zu diesem Zeitpunkt infizierte der Virus nahezu täglich weitere Computer von Privatanwendern, Unternehmen und Behörden. Durch die automatisierte Ausbreitung über täuschend echt gestaltete Mails war Emotet äußerst erfolgreich. Schadensmeldungen kamen unter anderem von der Stadtverwaltung von Allentown in den USA, dem Berliner Kammergericht, Hochschulen in Hannover, Freiburg und Berlin, dem Klinikum Fürth und den Verwaltungen der Städte Frankfurt am Main und Bad Homburg. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nannte Emotet in dieser Zeit „die gefährlichste Schadsoftware der Welt“. Das deutsche BKA schätzt die durch den Virus verursachten Schäden weltweit auf mindestens 2,5 Milliarden US-Dollar.
Die Hacker hinter Emotet agierten nun als Dienstleister. Sie infizierten mit ihrer Software weltweit Computer und boten kriminellen Organisationen an, deren Schadprogramme – üblicherweise eine Ransomware – auf diese Rechner zu laden. Das ließen sie sich dann gut bezahlen.
Nach monatelangen Ermittlungen gelang es den beteiligten Polizeibeamten schließlich, im Emotet-Netzwerk einen der Command & Control-Server zu identifizieren. Am 26. Januar 2021 stürmte die lokale Polizei ein unscheinbares Gebäude in der Ukraine und stießen dort nicht nur auf zwei mutmaßliche Hacker, sondern auch auf den Kontrollserver. Damit war es Computer-Spezialisten nun möglich, die Ausbreitung von Emotet zu stoppen: Sie programmierten die Software so um, dass sie nicht mehr mit dem Server in der Ukraine, sondern stattdessen mit Servern der Polizei kommunizierte, und verbreiteten dieses Update über das Emotet-Netz. Außerdem bauten sie in das Schadprogramm einen Befehl ein, mit dem es sich selbst in Quarantäne versetzte. Die folgenden Wochen nutzten die Ermittler, um weitere Informationen über das Emotet-Netzwerk, die Hintermänner und die kriminellen Banden zu sammeln, die das Schadprogramm für die Verbreitung von Ransomware genutzt hatten. Am 25. April schließlich, drei Monate nach dem Sturm auf die Zentrale in der Ukraine, deinstallierte sich die von der Polizei in das Netzwerk eingeschleuste Emotet-Variante auf allen befallenen Computern selbst.
Gefahr durch XLL-Dateien
Eine andere Variante der Malware-Verbreitung per Spam-Mail ist der seit Sommer 2021 zu beobachtende Einsatz von XLL-Dateien . Es handelt sich dabei um Add-ins für Excel, mit denen man die Funktionen aus Programmen von Drittanbietern in der Tabellenkalkulation verwenden kann.
Die vorhandenen und hoffentlich harmlosen XLLs auf Ihrem Computer finden Sie in Excel unter „Datei –› Optionen –› Add-Ins“. XLLs sind im Prinzip DLLs, die speziell für Excel geschrieben wurden. Mehrere kriminelle Banden setzen sie seit einigen Monaten ein, um eine Malware zu verbreiten, die beispielsweise Passwörter ausliest oder den Rechner in ein Botnetz einbindet. XLL-Dateien werden normalerweise nicht per Mail verschickt, da Outlook diese Anhänge blockiert. Stattdessen versenden die Hacker einen Link, der auf ein XLL-File auf einem Server verweist. Der Text der Nachricht fordert den Empfänger auf, die Datei herunterzuladen, es handele sich um ein wichtiges Dokument. Folgt er dieser Anweisung, öffnet ein Doppelklick auf das XLL-File Excel, das nun noch einmal nachfragt, ob es diese XLL aktivieren soll. Falls der Anwender zustimmt, wird das Add-in in Excel installiert und aktiviert.
Anschließend lädt es die eigentliche Malware herunter und richtet sie ein. In der Vergangenheit wurde auf diese Weise vor allem der Trojaner Redline verbreitet, der die vom Webbrowser gespeicherten Cookies, Benutzernamen, Passwörter, Kreditkartendaten sowie Anmeldedaten für FTP-Server und die von dort heruntergeladenen Dateien an den Server der Hacker übermittelt.
Neue Variante des Super-Schädlings breitet sich aus
Die im November aufgetauchte, neue Variante von Emotet ist gegenüber dem Original leicht verändert. Um die Kommunikation mit den Command & Control-Servern abzusichern, verwenden die Hacker nun das HTTPS-Protokoll und setzen einen leicht veränderten Verschlüsselungsalgorithmus ein. Geblieben ist allerdings die Methode des Dynamite Phishing. Nach wie vor nutzt der Virus die Kontaktliste des Mailprogramms, um sich weiter zu verbreiten, und lässt die Nachrichten wie Antworten auf frühere Mails aussehen. Als Anhang bringt er Word- und Excel-Dateien mit eingebetteten Makros mit. Öffnet ein Empfänger ein solches File, erscheint die Aufforderung „Inhalt aktivieren“. Sobald er sie bestätigt, werden Makros aktiviert, die weitere Dateien aus dem Internet nachladen und den Rechner infizieren.
Teilweise besteht der Anhang aber auch aus einer passwortgeschützten ZIP-Datei. Auf diese Weise wollen die Kriminellen offenbar verhindern, dass Antivirensoftware die Gefahr erkennt und Alarm schlägt. Das Passwort zum Öffnen des ZIP-Archivs steht in diesem Fall im Klartext in der Mail. Darüber hinaus greifen die Hacker noch zu einem weiteren Trick, um eine Sperre durch Antivirenprogramme zu verhindern. Die IP-Adressen der Command & Control-Server, von denen der Virus seine Schadsoftware herunterlädt, sind teilweise im Oktalsystem (Achtersystem) ausgeführt, das lediglich die Ziffern 0 bis 8 verwendet. Aus der dezimalen Adresse 192.168.0.1 wird in der oktalen Schreibweise beispielsweise die Zahlenfolge 300.250.0.1.
So schützen Sie Ihren Rechner vor Emotet & Co.
Für die Abwehr von Emotet ist der Umgang mit Mails und Dateianhängen entscheidend.
- Im Idealfall löschen Sie verdächtige Nachrichten sofort nach Erhalt
- Klicken Sie auf keinen Fall den Anhang an oder speichern ihn ab
- Laden Sie keine eingebetteten Bilder oder Grafiken herunter
- Antworten Sie nicht auf die Mail
Falls Sie aus Versehen dennoch einen Doppelklick auf das File ausgeführt haben und Word oder Excel Sie nun auffordert, weitere Inhalte zu aktivieren, handelt es sich mit hoher Wahrscheinlichkeit um einen Virus. Kommen Sie der Aufforderung nicht nach, schließen Sie das Office-Programm und löschen Sie die Nachricht.
Qbot: Nachahmer, Nachfolger und Trittbrettfahrer
Aufgrund des großen Erfolgs von Emotet war es nur eine Frage der Zeit, bis andere kriminelle Gruppen die Methode des Dynamite Phishing in ihre Malware integrierten. Am gefährlichsten hat sich dabei im vergangenen Jahr ein Schadprogramm mit dem Namen Qbot oder auch Qakbot erwiesen.
Qbot begann genau wie Emotet als Banking-Trojaner, ist allerdings schon deutlich älter. Die ersten Versionen lassen sich bis ins Jahr 2008 zurückverfolgen. Nach und nach wurde die Software von Hackern immer weiter ausgebaut.
Qbot wird verteilt, indem die Kriminellen Unternehmen und Behörden gezielt anschreiben. Im Anhang der Mails befindet sich eine ZIP-Datei mit einem VBS-Skript (Visual Basic Script), das Qbot herunterlädt und installiert. Um eine Entdeckung zu erschweren, haben die Programmierer eine Zeitverzögerung und weitere Verschleierungstechniken eingebaut. Nach dem Vorbild von Emotet wertet Qbot nun die Kontaktliste und die gespeicherten Mails aus, um sich selbst als angebliche Antwort auf eine frühere Nachricht an weitere Empfänger zu verschicken.
Sobald ein Computer mit Qbot infiziert ist, stellt er eine Verbindung zu einem Command & Control-Server her. Von dort bekommt er weitere Befehle und lädt Schadsoftware nach. Sehr beliebt bei den Hackern sind offensichtlich Module, die im Hintergrund Tastatureingaben überwachen und so Passwörter abfangen. Häufig werden Qbot-Rechner aber auch in Botnetze eingebunden, die beispielsweise für DDoS-Angriffe gemietet werden können.
Defender: Das kann der Virenschutz für Windows 11
Autor: Roland Freist
Roland Freist bearbeitet als freier IT-Fachjournalist Themen rund um Windows, Anwendungen, Netzwerke, Security und Internet.