Seit seiner Wiederkehr tauchte Emotet in mehreren Spam-Kampagnen auf, wobei die hinter dem Botnetz stehende Hackergruppe Mealybug neue Module entwickelt und bestehende verbessert hat. Die Cyberkriminellen hinter Emotet scheinen aus dem Takedown vor zwei Jahren gelernt zu haben und setzen nun verstärkt darauf, eine Entdeckung ihres Botnetzes zu verhindern. In einer kürzlich durchgeführten Operation wurden Ziele in Italien, Spanien, Japan, Mexiko und Südafrika angegriffen. Doch seit April 2023 sind die Aktivitäten von Emotet stark zurückgegangen. Die ESET-Forscher vermuten, dass die Hacker derzeit nach neuen Angriffsvektoren suchen. Ihre detaillierte Analyse haben sie auf WeLiveSecurity veröffentlicht.
„Emotet verbreitet sich durch Spam-Mails und kann sensible Daten von infizierten Computern stehlen sowie weitere Schadsoftware auf diese übertragen. Die Hacker sind bei der Wahl ihrer Ziele nicht wählerisch und attackieren sowohl Privatpersonen als auch Unternehmen und größere Organisationen“, erklärt Jakub Kaloč, ESET-Forscher und Mitautor der Analyse.
Neue Angriffsvektoren nach VBA-Makro-Verbot
Von Ende 2021 bis Mitte 2022 verbreitete sich Emotet hauptsächlich über VBA-Makros in Microsoft Word- und Excel-Dokumenten. Doch im Juli 2022 änderte Microsoft die Regeln und deaktivierte VBA-Makros in aus dem Internet heruntergeladenen Dokumenten, was Emotet und ähnliche Malware-Familien wie Qbot zur Anpassung zwang. Diese Veränderung führte dazu, dass die Betreiber von Emotet gezwungen waren, nach neuen Methoden zu suchen, um ihre Ziele zu kompromittieren. Mealybug begann mit bösartigen LNK- und XLL-Dateien zu experimentieren, doch als das Jahr 2022 zu Ende ging, zeigten sich Schwierigkeiten bei der Suche nach einem ebenso effektiven Angriffsvektor wie den VBA-Makros.
„Im Jahr 2023 führte Emotet drei verschiedene Malspam-Kampagnen durch, die jeweils unterschiedliche Eindringmethoden und Social-Engineering-Techniken testeten. Der Rückgang der Angriffshäufigkeit und die ständigen Änderungen der Vorgehensweise könnten jedoch darauf hindeuten, dass die Ergebnisse nicht zufriedenstellend waren“, so Kaloč weiter. Später versuchte Emotet, mit Microsoft OneNote-Ködern Nutzer zu infizieren, doch trotz Warnungen klickten viele Anwender auf die gefährlichen Inhalte.
Weiterentwicklung der Schadsoftware
Nach seiner Wiederkehr erfuhr Emotet mehrere Upgrades. Besonders auffällig waren die Änderungen im kryptografischen Schema sowie die Implementierung neuer Verschleierungstechniken zum Schutz der Module. Die Betreiber des Botnetzes haben erhebliche Anstrengungen unternommen, um die Überwachung und Verfolgung ihres Netzwerks zu erschweren. Zudem wurden neue Module hinzugefügt und bestehende verbessert, um weiterhin profitabel zu bleiben.
Die Malware wird nach wie vor über Spam-Mails verbreitet. Diese Nachrichten erwecken oft Vertrauen, da die Kriminellen erfolgreich E-Mail-Konversationen übernehmen. Vor dem Takedown nutzte Emotet Module wie den „Outlook Contact Stealer“ und den „Outlook Email Stealer“, um E-Mails und Kontaktinformationen zu stehlen. Da jedoch nicht alle Opfer Outlook verwenden, konzentrierte sich Emotet nach seiner Rückkehr auch auf andere E-Mail-Anwendungen wie Thunderbird. Zusätzlich wurde das „Google Chrome Credit Card Stealer“-Modul implementiert, das Kreditkarteninformationen stiehlt, die im Chrome-Browser gespeichert sind.
Laut ESET-Telemetrie und den Beobachtungen der Forscher ist es um Emotet seit Anfang April 2023 ruhiger geworden. Dies könnte darauf hindeuten, dass die Hacker möglicherweise einen neuen effektiven Angriffsvektor gefunden haben. Die meisten von ESET entdeckten Angriffe seit Januar 2022 zielten auf Japan (43 %), Italien (13 %), Spanien (5 %), Mexiko (5 %) und Südafrika (4 %) ab.
Über Emotet Emotet ist eine seit 2014 aktive Malware-Familie, die von der Cybercrime-Gruppe Mealybug (auch bekannt als TA542) betrieben wird. Ursprünglich als Banking-Trojaner gestartet, entwickelte sich Emotet zu einem Botnetz, das weltweit zu einer der größten Bedrohungen wurde. Im Januar 2021 wurde Emotet in einer internationalen Operation, die von Europol und Eurojust koordiniert wurde, vorübergehend stillgelegt. Im November 2021 kehrte das Botnetz jedoch zurück und startete erneut mehrere Spam-Kampagnen. Im April 2023 wurden die Aktivitäten erneut eingestellt.