Emotet: Diesmal per PDF – Neue Malware-Welle

Die Hacker der Malware Emotet haben sich wieder einmal etwas Neues ausgedacht. Da bei der letzten Emotet-Welle vor dem Öffnen von Word-Dokumenten gewarnt wurde, sollen die Anwender nun per PDF in die Irre geführt werden.

Unser Partner für Sicherheitslösungen, die G DATA Software AG, berichtet in einem aktuellen Blog-Beitrag über eine erneute Bedrohungs-Welle der Malware Emotet.

Diesmal erfolgt die Verteilung der Schadsoftware per PDF. Die Dateien sind an E-Mails als Attachement angehängt und enthalten selbst keinen Schadcode. Vielmehr enthalten die PDFs einen Link zu einem Word-Dokument, das wiederum Emotet herunterlädt, wenn Anwender die Makro-Funktionen aktivieren. Bislang wurden meist direkt Word-Dateien an die Nutzer verschickt.

Screenshot des präparierten PDFs – ©G Data

Die von G DATA analysierten PDF-Dokumente sind eher laienhaft erstellt. Die Autoren von Emotet sind hier scheinbar entweder nicht die plietschesten oder kokettieren bewusst damit.

Die Dokumente fordern den Nutzer auf eine Rechnungsdatei herunterzuladen oder sie täuschen eine bereits bestehende Mahnung vor. Lädt man die Datei herunter, öffnet sich wiederum ein WORD-Dokument, welches die Makro-Funktionen anfordert.

Das Ausführen der Makro-Funktionen sollte dabei jedoch, wie auch schon der Download der Dateien selbst, tunlichst unterlassen werden. Die Ausführung installiert dann den Schadcode.

Kunden, die G DATA einsetzen, sind bereits vor dieser aktuellen Bedrohung geschützt. Die PDF-Dokumente werden unter dem Erkennungsnamen PDF.Trojan.Agent.AKU@susp entdeckt. Da das Word-Dokument mit der Emotet-Schadsoftware erst nach einem Klick auf das bösartige PDF heruntergeladen würde, taucht der Name des Trojaners hier noch nicht auf. G DATA blockt eine Infektion immer so früh wie möglich.

Was macht Emotet genau?

Hier zitieren wir gern unseren Partner G DATA:

„Emotet ist eine der häufigsten Bedrohungen für Privatanwender und Unternehmen. Das vielseitige Werkzeug hat sich vom Bankentrojaner zu einer Allzweckwaffe des Cybercrime entwickelt, mit dem sich etwa Zugangsdaten und Kontakte vom PC auslesen lassen. Außerdem kann über eine bestehende Emotet-Infektion weiterer Schadcode nachgeladen werden. Über diesen Weg wurden Unternehmen in Deutschland mit der Ransomware Ryuk infiziert. Vor der Infektion konnten die Täter die Unternehmen die Zahlungsfähigkeit des Unternehmens ausspionieren und nutzten dabei die Funktionen von Emotet. In den IT-Sicherheitstrends für das Jahr 2019 hatte G DATA vorhergesagt, dass Ransomware-Angriffe in Zukunft deutlich gezielter ablaufen werden. Die wichtigsten Hintergründe zu Emotet haben wir in einem umfassenden Blogpost beleuchtet.“

Wie kann man sich als Nutzer schützen?

Neben der Installation einer Sicherheits-Lösung sollten Nutzer daher stets folgende Regeln im Umgang mit E-Mails beachten:

  • Unverlangt zugesendete E-Mails von fremden Personen sollten grundsätzlich kritisch beäugt werden, insbesondere wenn sie Anhänge enthalten
  • Für Privatanwender gibt es kaum Einsatzzwecke für Makros und andere „aktive Elemente“. Diese sollten demnach ganz grundsätzlich nicht aktiviert werden. Auch im Unternehmenskontext gibt es nur begrenzte Einsatzzwecke für Makros, diese werden in der Regel nur in speziellen Formularen genutzt.
  • Im Zweifelsfall gilt: Einfach kurz Nachfragen, ob die Mail tatsächlich vom entsprechenden Absender stammt. Ist dieser bekannt am besten fix persönlich Anrufen oder über einen Messenger nachfragen.

Ausführliche Informationen zum G DATA Sicherheits-Produkt finden Sie auch in diesem Beitrag und auf dicide.de.

(Visited 69 times, 1 visits today)