Banking-Trojaner Emotet kehrt mit neuen Funktionen zurück

Die Hintermänner machen aus der Schadsoftware eine Malware-as-a-Service. Ein neuer modularer Aufbau erlaubt das Hinzufügen neuer Funktionen. Außerdem übernimmt Emotet Tarnfunktionen von Trickbot.

Forscher von Netscout haben sich mit den jüngsten Varianten des Banking-Trojaners Emotet beschäftigt. Die erstmals 2014 beschriebene Schadsoftware hatte sich im Mai zurückgezogen und ist nun seit September wieder verstärkt aktiv. Grund dafür ist eine Weiterentwicklung von Emotet hin zu einer modular aufgebauten Malware, mit der sich zusätzliche Payloads an Geldinstitute, Unternehmen und Verbraucher verteilen lassen.

Malware (Bild Shutterstock)Für die Umwandlung von einer Standalone-Malware zur Malware-as-a-Service soll eine Gruppe namens Mealybug verantwortlich sein. Sie ermöglicht es nun anderen Cyberkriminellen, den Code von Emotet so anzupassen, dass der Trojaner verschiedene Exploits sowie unterschiedlichste Funktionen unterstützt. Emotet ist somit nicht nur eine Banking-Malware, sondern auch für die Verteilung von weiterer Schadsoftware geeignet.

Der Analyse von Netscout zufolge nutzt Emotet nun verschiedene Tarntechniken, die bereits von Trickbot bekannt sind. Zudem wurden die Listen mit Befehlsservern und auch die RSA-Schlüssel erneuert. Das gilt auch für die Wortliste, mit der Namen für den eigenen Prozesse als Bot erstellt werden. Unter anderem werden nun Worte wie Engine, Finish, Magny, Resapi, Query und Skip benutzt. Die Forscher werten diese Liste nun aus, um neue Signatur-Dateien zu erstellen, die Nutzer von Emotet-Infektionen schützen können.

Darüber hinaus stellten die Forscher fest, dass fast täglich neue Binärdateien für Emotet verteilt werden. Jede neue Binärdatei enthalte rund 40 bis 80 Indikatoren für Befehlsserver. Die Befehlsserver wiederum seien weltweit verbreitet und nicht auf bestimmte Regionen konzentriert.

„Die Veränderungen in der Art und Weise, wie die Emotet-Autoren ihre Binärdateien und andere Schadsoftware packen, ständig Teile des Codes optimierte und die Konfigurationsdateien ändern, um Signaturen zu umgehen, zeigt das aggressive Verhalten der Malware-Autoren, indem sie nicht nur eine Erkennung ihrer Binärdateien vermeiden, sondern auch die der verteilten Malware“, erklärten die Forscher. Das mache ihre Operation so effektiv und dauerhaft, trotz aller Bemühungen, die Bedrohung zu beseitigen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte schon im September vor der neuen Angriffswelle gewarnt. Zu dem Zeitpunkt wurde das neue Buch von Edward Snowden als Lockmittel eingesetzt. Die Verbreitung erfolgte laut Sicherheitsforschern von Malwarebytes über Spam-E-Mails in verschiedenen Sprachen, darunter Deutsch.

WEBINAR

Webinar: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Themenseiten: Cybercrime, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Banking-Trojaner Emotet kehrt mit neuen Funktionen zurück

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *