Banking-Trojaner Emotet kehrt mit neuen Funktionen zurück

Die Hintermänner machen aus der Schadsoftware eine Malware-as-a-Service. Ein neuer modularer Aufbau erlaubt das Hinzufügen neuer Funktionen. Außerdem übernimmt Emotet Tarnfunktionen von Trickbot.

Forscher von Netscout haben sich mit den jüngsten Varianten des Banking-Trojaners Emotet beschäftigt. Die erstmals 2014 beschriebene Schadsoftware hatte sich im Mai zurückgezogen und ist nun seit September wieder verstärkt aktiv. Grund dafür ist eine Weiterentwicklung von Emotet hin zu einer modular aufgebauten Malware, mit der sich zusätzliche Payloads an Geldinstitute, Unternehmen und Verbraucher verteilen lassen.

Malware (Bild Shutterstock)Für die Umwandlung von einer Standalone-Malware zur Malware-as-a-Service soll eine Gruppe namens Mealybug verantwortlich sein. Sie ermöglicht es nun anderen Cyberkriminellen, den Code von Emotet so anzupassen, dass der Trojaner verschiedene Exploits sowie unterschiedlichste Funktionen unterstützt. Emotet ist somit nicht nur eine Banking-Malware, sondern auch für die Verteilung von weiterer Schadsoftware geeignet.

Der Analyse von Netscout zufolge nutzt Emotet nun verschiedene Tarntechniken, die bereits von Trickbot bekannt sind. Zudem wurden die Listen mit Befehlsservern und auch die RSA-Schlüssel erneuert. Das gilt auch für die Wortliste, mit der Namen für den eigenen Prozesse als Bot erstellt werden. Unter anderem werden nun Worte wie Engine, Finish, Magny, Resapi, Query und Skip benutzt. Die Forscher werten diese Liste nun aus, um neue Signatur-Dateien zu erstellen, die Nutzer von Emotet-Infektionen schützen können.

Darüber hinaus stellten die Forscher fest, dass fast täglich neue Binärdateien für Emotet verteilt werden. Jede neue Binärdatei enthalte rund 40 bis 80 Indikatoren für Befehlsserver. Die Befehlsserver wiederum seien weltweit verbreitet und nicht auf bestimmte Regionen konzentriert.

„Die Veränderungen in der Art und Weise, wie die Emotet-Autoren ihre Binärdateien und andere Schadsoftware packen, ständig Teile des Codes optimierte und die Konfigurationsdateien ändern, um Signaturen zu umgehen, zeigt das aggressive Verhalten der Malware-Autoren, indem sie nicht nur eine Erkennung ihrer Binärdateien vermeiden, sondern auch die der verteilten Malware“, erklärten die Forscher. Das mache ihre Operation so effektiv und dauerhaft, trotz aller Bemühungen, die Bedrohung zu beseitigen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte schon im September vor der neuen Angriffswelle gewarnt. Zu dem Zeitpunkt wurde das neue Buch von Edward Snowden als Lockmittel eingesetzt. Die Verbreitung erfolgte laut Sicherheitsforschern von Malwarebytes über Spam-E-Mails in verschiedenen Sprachen, darunter Deutsch.

ANZEIGE

Webinar: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Cybercrime, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Banking-Trojaner Emotet kehrt mit neuen Funktionen zurück

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *