Internet-Security - 24. Mai 2019

Trojaner „Emotet Anders als 2018“ tarnt sich mit legitimer E-Mail

Es ist wieder ein Verschlüsselungstrojaner im Umlauf: „Emotet Anders als 2018“ benutzt bereits empfangene E-Mails. DATEVnet blockiert den Trojaner mit einem eigenen Antiviren-Pattern.

Der Betreff der E-Mail bleibt dabei erhalten. Nach dem Trenner „—-Original Message—–“ ist der legitime E-Mailverkehr angehängt, der zwischen Absender und Empfänger tatsächlich stattgefunden hat.

Wie bei dem letzten Trojaner „Gandcrab“ befindet sich ein Word-Dokumente mit schädlichen Makros im Anhang.

Beispiel einer angehängten E-Mail

An eine bereits empfangene, legitime E-Mail wird ein Anhang mit Makros platziert.

Hinweis von Microsoft Word führt zu Makros, die das Schadprogramm laden.

Öffnet der Nutzer diese Datei, sieht er diesen Hinweis von Microsoft Word. Klickt man hier, werden die Makros ausgeführt, mit denen das Schadprogramm auf den Rechner gelangt.

Unbemerkt wird weitere Schadsoftware nachgeladen, die sich selbst an die gespeicherten Kontakte verteilt. Dazu lässt sie ihre E-Mails so aussehen, als seien es Antworten auf bereits früher verschickte Nachrichten. Im schlimmsten Fall werden die infizierten Rechner verschlüsselt.

DATEVnet blockiert

Da die Schadsoftware bisher von den meisten Virenscannern noch nicht erkannt wird, blockiert DATEVnet sie mit einem eigenen Antviren-Pattern.

Es ist zu erwarten, dass der Trojaner laufend sein Erscheinungsbild ändert.