Bank-Trojaner Emotet in Österreich, Deutschland und der Schweiz aktiv

Kaspersky Lab warnt vor einer neuerlichen Welle des Banking-Trojaners "Emotet". Der Schädling hat explizit CHIP-TAN- und SMS-TAN-Nummern und das Geld von deutschsprachigen Bankkunden im Visier. [...]

Emotet wird über täuschend echt aussehende Spam-Mails verbreitet und bringt Anwender mittels Social-Engineering-Methoden dazu, sensible Bankdaten für eine angebliche Sicherheitsüberprüfung preiszugeben. Die abgefischten TAN-Nummern werden anschließend von den Cyberkriminellen für eine betrügerische Überweisung missbraucht. Die hochautomatisierte, modular aufgebaute und sich ständig weiter entwickelnde Cyberbedrohung ist speziell auf Kunden von Banken in Deutschland, Österreich und neuerdings in der Schweiz zugeschnitten, und treibt weiter ihr Unwesen.

Die erste Version von Emotet tauchte im Sommer 2014 auf, wie damals von Trend Micro berichtet wurde, eine zweite im Herbst desselben Jahres. Die nun von Kaspersky Lab genauer analysierte dritte Version ist seit Februar 2015 aktiv und beinhaltet neben allen Funktionalitäten der Vorgängerversionen weitere Verbesserungen wie beispielsweise Pflegemaßnahmen im Code oder bessere Methoden der Tarnung.

„Der Schädling ist für Angriffe auf deutschsprachige Nutzer konzipiert. Bereits die ersten beiden Versionen hatten Nutzer von deutschen und österreichischen Banken im Visier. Mit der dritten Version werden nun die Vorbereitungen für den Angriff auf Schweizer Online-Banking-Nutzer getroffen. Denn: Obwohl die beim Social-Engineering-Trick genutzten Skripte für die Schweiz noch nicht final sind, gehen wir davon aus, dass dies demnächst geschieht. So werden auch Schweizer Bankkunden, deren System mit Emotet infiziert ist, Teil der Attacken“, so Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab.

PROFESSIONELLE SPAM-MAILS ALS KÖDER
Emotet verbreitet sich über  deutschsprachige und professionell aufgemachte Spam-E-Mails – die dabei genutzten Bilder werden sogar von Original-Webseiten einspielt. Nutzer infizieren sich, wenn sie einen kompromittierten E-Mail-Anhang öffnen, wobei hier die Datennamen des als ZIP gepackten Anhangs extra lang gewählt sind, damit die verräterische Endung „.exe“ bei vielen Nutzern in der Spalte des Windows Explorers nicht mehr auftaucht. Eine weitere Möglichkeit ist der Verweis via in der E-Mail angegebenem Link auf eine legitime, aber kompromittierte Webseite. Solche E-Mails mit schädlichen Links stammen scheinbar auch von anderen großen Unternehmen, etwa von der Deutschen Telekom AG oder DHL International GmbH, deren Erscheinungsbild Kaspersky zufolge perfekt gefälscht wurde.

Emotet verfügt über diverse Vorlagen für deutsche und österreichische Banken. Wird über ein infiziertes System eine Bankseite aufgerufen, und entspricht die Bank den Emotet-Vorlagen, wird komplett automatisiert mithilfe eines Skripts eine Mitteilung im Browser beispielsweise mit folgendem Inhalt erzeugt: Wegen der Einführung eines neuen Sicherheitssystems habe der Nutzer nur beschränkten Zugriff auf sein Konto, solange bis er eine Testüberweisung durchgeführt hat. Fällt der Nutzer auf den Social-Engineering-Trick herein, erfolgt mit der abgefischten CHIP-TAN- oder SMS-TAN-Nummern – ebenfalls automatisiert – eine reale Überweisung auf die Konten der Cyberkriminellen.

MODULARER AUFBAU
Emotet ist modular aufgebaut. Zentraler Baustein ist ein sehr gut getarnter Loader, der sich über den oben geschilderten Verbreitungsweg in ein System einnistet und Kontakt zum Kontroll-Server (Command & Control-Server) hält. Wird der Loader auf einer virtuellen Maschine gestartet – was oft ein Zeichen dafür ist, dass ein Analyst dem Schädling auf der Spur ist –, versendet er seine  Kommandos an falsche IP-Adressen, die nicht mit dem eigentlichen Kontroll-Server verbunden sind. Ein Analyst könnte durch die ausbleibenden Antworten der Server  von einer kalten Fährte ausgehen.

Das so genannte Banker-Modul zur Modifizierung von HTTP(S)-Verkehr ermöglicht die oben beschriebene Manipulation des Daten-Streams, also der Testüberweisungsanzeige im Browser. Das böswillige Banker-Modul wird nur dann aktiv, wenn die Anfrage mit der echten Seite einer Bank verbunden wird, deren Inhalt von Emotet durch lokal injizierten Code verändert wird.

Da der Trojaner stark auf den Faktor Social Engineering setzt, sollten Nutzer neben einer adäquaten IT-Sicherheitslösung besondere Vorsicht walten lassen, wenn es um veränderte Banking-Prozesse und die Eingabe von sensiblen Daten wie TAN-Nummern geht. Wer unsicher ist, sollte zur Sicherheit immer die Authentizität einer solchen Anfrage bei seiner Bank telefonisch prüfen.

Eine sehr detaillierte Analyse zu Emotet finden Sie unter diesem Link. (pi)


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*