Bank-Trojaner Emotet wieder im deutschsprachigen Raum aktiv

der hochautomatisierte Schädling hebelt sogar die Faktor-Zwei-Authentifizierung aus und attackiert gezielt Online-Banking-Nutzer in Deutschland, Österreich und der Schweiz

Der Schädling hat explizit CHIP-TAN– und SMS-TAN-Nummern und das Geld von deutschsprachigen Bankkunden im Visier. Emotet wird über täuschend echt aussehende Spam-Mails verbreitet und bringt Anwender mittels Social-Engineering-Methoden dazu, sensible Bankdaten für eine angebliche Sicherheitsüberprüfung preiszugeben. Die abgefischten TAN-Nummern werden anschließend von den Cyberkriminellen für eine betrügerische Überweisung missbraucht.

Dritte Version von Emotet ist noch ausgereifter

Die erste Version von Emotet tauchte bereits im Sommer 2014 auf, eine zweite im Herbst desselben Jahres. Die nun von Kaspersky Lab genauer analysierte dritte Version ist seit Februar 2015 aktiv und beinhaltet neben allen Funktionalitäten der Vorgängerversionen auch weitere Verbesserungen, wie beispielsweise Pflegemaßnahmen im Code und eine bessere Methoden der Tarnung um sich vor den Virenscannern zu schützen.

„Der Schädling Emotet ist jetzt auch für Angriffe auf deutschsprachige Nutzer konzipiert worden. Bereits die ersten beiden Versionen hatten Nutzer von deutschen und österreichischen Banken im Visier. Mit der aktuellenVersion werden nun auch die Vorbereitungen für die Angriffe auf Schweizer Online-Banking-Nutzer getroffen.
Obwohl die beim Social-Engineering-Trick genutzten Skripte für die Schweiz noch nicht final sind, ist davon auszugehen, dass dies in kürzester geschehen wird.. So werden auch Schweizer Bankkunden, deren System mit Emotet infiziert ist, Teil der Attacken“, so Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab.

Verbreitung über Spam-E-Mails

Emotet verbreitet sich über deutschsprachige und professionell aufgemachte Spam-E-Mails – die dabei genutzten Bilder werden sogar von Original-Webseiten einspielt. Nutzer infizieren sich, wenn sie einen kompromittierten E-Mail-Anhang öffnen, wobei hier die Datennamen des als ZIP gepackten Anhangs extra lang gewählt sind, damit die verräterische Endung „.exe“ bei vielen Nutzern in der Spalte des Windows Explorers nicht mehr auftaucht. Eine weitere Möglichkeit ist der Verweis via in der E-Mail angegebenem Link auf eine legitime, aber kompromittierte Webseite. Solche E-Mails mit schädlichen Links stammen scheinbar auch von anderen großen Unternehmen, etwa von der Deutschen Telekom AG oder DHL International GmbH, deren Erscheinungsbild perfekt gefälscht wurde.

Zwei-Faktor-Authentifizierung mittels Social Engineering außer Gefecht gesetzt

Emotet verfügt über diverse Vorlagen für deutsche und österreichische Banken. Wird über ein infiziertes System eine Bankseite aufgerufen, und entspricht die Bank den Emotet-Vorlagen, wird komplett automatisiert mithilfe eines Skripts eine Mitteilung im Browser beispielsweise mit folgendem Inhalt erzeugt: Wegen der Einführung eines neuen Sicherheitssystems habe der Nutzer nur beschränkten Zugriff auf sein Konto, solange bis er eine Testüberweisung durchgeführt hat. Fällt der Nutzer auf den Social-Engineering-Trick herein, erfolgt mit der abgefischten CHIP-TAN- oder SMS-TAN-Nummern – ebenfalls automatisiert – eine reale Überweisung auf die Konten der Cyberkriminellen.

Modularer Aufbau ermöglicht diverse Aktionen

Emotet ist modular aufgebaut. Zentraler Baustein ist ein sehr gut getarnter Loader, der sich über den oben geschilderten Verbreitungsweg in ein System einnistet und Kontakt zum Kontroll-Server (Command & Control-Server) hält. Wird der Loader auf einer virtuellen Maschine gestartet – was oft ein Zeichen dafür ist, dass ein Analyst dem Schädling auf der Spur ist –, versendet er seine Kommandos an falsche IP-Adressen, die nicht mit dem eigentlichen Kontroll-Server verbunden sind. Ein Analyst könnte durch die ausbleibenden Antworten der Server von einer kalten Fährte ausgehen.

Das so genannte Banker-Modul zur Modifizierung von HTTP(S)-Verkehr ermöglicht die oben beschriebene Manipulation des Daten-Streams, also der Testüberweisungsanzeige im Browser. Das böswillige Banker-Modul wird nur dann aktiv, wenn die Anfrage mit der echten Seite einer Bank verbunden wird, deren Inhalt von Emotet durch lokal injizierten Code verändert wird.

Wie man sich schützt

Da der Trojaner stark auf den Faktor Social Engineering setzt, sollten Nutzer neben einer adäquaten IT-Sicherheitslösung, besondere Vorsicht walten lassen, wenn es um veränderte Banking-Prozesse und die Eingabe von sensiblen Daten wie TAN-Nummern geht. Wer unsicher ist, sollte zur Sicherheit immer die Authentizität einer solchen Anfrage bei seiner Bank telefonisch prüfen.

Lexikonbegriffe:

Schadsoftware

Quelle: Kaspersky