2456887

Polizei warnt vor Malware in Microsoft-Office-Makros

20.09.2019 | 09:35 Uhr | Hans-Christian Dirscherl

Die berüchtigte Schadsoftware Emotet ist zurück. Sie verbreitet sich derzeit versteckt in Microsoft-Office-Makros.

Die Zentrale Ansprechstelle Cybercrime des Landeskriminalamts Niedersachsen warnt vor einem aktuellen Comeback von Emotet. Emotet hatte eine Zeitlang heftig gewütet, zuletzt war es um diese Schadsoftware aber still geworden. Doch jetzt ist Emotet zurück und verbreitet sich erneut – und zwar in Microsoft-Office-Dokumenten mit Makros.

Die Mails, in deren Anhang sich Emotet derzeit ausbreitet, geben vor von der der Deutschen Steuer-Gewerkschaft Landesverband Niedersachsen zu stammen. Sie haben laut der Polizei unterschiedliche Betreffzeilen, ein Beispiel lautet:  "Muster - DSTG". Der eigentliche Mailtext ist immer kurz gehalten und variiert und verweist teilweise auf einen Text, auf den geantwortet wurde; entscheidend ist aber, dass der Text den Empfänger immer dazu verleiten soll den Mailanhang zu öffnen. Denn darin lauert Emotet.

Öffnet der Empfänger tatsächlich den Mailanhang, dann erscheint eine Grafik, die den Benutzer auffordert das blockierte Makro auszuführen. Folgt der Empfänger dieser Aufforderung, nimmt das Verhängnis seinen Lauf und die eigentliche Schadsoftware wird nachgeladen und ausgeführt.

Wie gehabt verbindet sich Emotet mit einem Command&Control-Server (C&C-Server). Die Polizei listet folgende IP-Adresse für die verwendeten C&C-Server auf:

Http://190.18.146.70/schema/raster/jit/merge/
http://31.12.67.62:7080/pdf/
http://31.172.240.91:8080/attrib/
http://37.157.194.134:443/acquire/
http://37.208.39.59:7080/taskbar/bml/results/merge/
http://41.220.119.246/between/
http://45.33.49.124:443/iplk/devices/results/merge/
http://45.123.3.54:443/taskbar/cookies/
http://46.105.131.87/psec/badge/results/
http://47.41.213.2:22/stubs/chunk/
http://59.152.93.46:443/mult/
http://62.75.187.192:8080/symbols/walk/results/merge/
http://75.127.14.170:8080/devices/window/results/
http://78.24.219.147:8080/badge/
http://85.104.59.244:20/loadan/
http://86.98.25.30:53/site/codec/
http://87.106.139.101:8080/site/loadan/results/
http://87.106.136.232:8080/cookies/
http://87.230.19.21:8080/report/codec/
http://88.156.97.210/enable/symbols/
http://91.92.191.134:8080/guids/nsip/forced/merge/
http://91.205.215.66:8080/stubs/
http://92.222.125.16:7080/walk/xian/symbols/
http://92.222.216.44:8080/ringin/ban/symbols/
http://94.205.247.10/scripts/sess/results/
http://95.128.43.213:8080/odbc/child/
http://104.131.11.150:8080/symbols/cookies/forced/
http://104.236.246.93:8080/iab/devices/symbols/merge/
http://117.197.124.36:443/enabled/json/
http://136.243.177.26:8080/pdf/cone/
http://138.201.140.110:8080/site/codec/results/merge/
http://142.44.162.209:8080/guids/
http://144.139.247.220/child/devices/
http://149.202.153.252:8080/results/
http://159.65.25.128:8080/balloon/balloon/results/
http://162.243.125.212:8080/report/sess/
http://169.239.182.217:8080/symbols/
http://173.212.203.26:8080/scripts/child/results/merge/
http://175.100.138.82:22/health/schema/results/merge/
http://177.246.193.139:20/entries/odbc/results/
http://178.79.161.166:443/arizona/prep/results/merge/
http://178.254.6.27:7080/forced/glitch/
http://179.32.19.219:22/raster/taskbar/
http://182.76.6.2:8080/sess/usbccid/results/
http://182.176.106.43:995/jit/jit/symbols/
http://182.176.132.213:8090/walk/between/
http://185.94.252.13:443/add/loadan/results/merge/
http://185.129.92.210:7080/nsip/
http://186.4.172.5:443/psec/mult/results/merge/
http://186.4.172.5:8080/usbccid/chunk/results/
http://187.144.189.58:50000/window/scripts/
http://187.147.50.167:8080/taskbar/stubs/forced/
http://188.166.253.46:8080/schema/
http://189.209.217.49/health/
http://190.18.146.70/ringin/devices/symbols/merge/
http://190.145.67.134:8090/badge/tlb/results/
http://190.186.203.55/cone/nsip/
http://190.201.164.223:53/free/
http://201.212.57.109/prov/enabled/
http://201.250.11.236:50000/teapot/badge/forced/merge/
http://206.189.98.125:8080/ban/stubs/
http://211.63.71.72:8080/srvc/raster/symbols/
http://212.71.234.16:8080/stubs/glitch/
http://217.160.182.191:8080/xian/
http://222.214.218.192:8080/codec/report/

So schützen Sie sich: Klicken Sie nie auf Mailanhänge, die Sie nicht ausdrücklich erwartet haben. Fragen Sie gegebenenfalls vor dem Anklicken telefonisch nach, ob diese Mail tatsächlich von dem Absender stammt. Und führen Sie nie leichtfertig Makros aus. Virenscanner und Firewall sollten ohnehin immer aktuell sein.

Bereits hohe Schäden: BSI warnt vor Malware Emotet

Polizei warnt: Trojaner versteckt sich in Antwort-Mail

PC-WELT Marktplatz

2456887