Bank-Trojaner Emotet im deutschsprachigen Raum aktiv

20. April 2015 @

Kaspersky Lab warnt vor einer neuerlichen Welle des Banking-Trojaners „Emotet“. Der Schädling hat explizit CHIP-TAN- und SMS-TAN-Nummern und das Geld von deutschsprachigen Bankkunden im Visier. Emotet wird über täuschend echt aussehende Spam-Mails verbreitet und bringt Anwender mittels Social-Engineering-Methoden dazu, sensible Bankdaten für eine angebliche Sicherheitsüberprüfung preiszugeben. Die abgefischten TAN-Nummern werden anschließend von den Cyberkriminellen für eine betrügerische Überweisung missbraucht. Die hochautomatisierte, modular aufgebaute und sich ständig weiter entwickelnde Cyberbedrohung ist speziell auf Kunden von Banken in Deutschland, Österreich und neuerdings in der Schweiz zugeschnitten, und treibt weiter ihr Unwesen.

Fallen Sie nicht auf den Trick von "Emotet" herein - Grafik: Kaspersky Lab

Fallen Sie nicht auf den Trick von „Emotet“ herein – Grafik: Kaspersky Lab

Die erste Version von Emotet tauchte im Sommer 2014 auf, eine zweite im Herbst desselben Jahres. Die nun von Kaspersky Lab genauer analysierte dritte Version ist seit Februar 2015 aktiv und beinhaltet neben allen Funktionalitäten der Vorgängerversionen weitere Verbesserungen wie beispielsweise Pflegemaßnahmen im Code oder bessere Methoden der Tarnung.

„Der Schädling ist für Angriffe auf deutschsprachige Nutzer konzipiert. Bereits die ersten beiden Versionen hatten Nutzer von deutschen und österreichischen Banken im Visier. Mit der dritten Version werden nun die Vorbereitungen für den Angriff auf Schweizer Online-Banking-Nutzer getroffen. Denn: Obwohl die beim Social-Engineering-Trick genutzten Skripte für die Schweiz noch nicht final sind, gehen wir davon aus, dass dies demnächst geschieht. So werden auch Schweizer Bankkunden, deren System mit Emotet infiziert ist, Teil der Attacken“, so Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab.

Emotet verbreitet sich über deutschsprachige und professionell aufgemachte Spam-E-Mails – die dabei genutzten Bilder werden sogar von Original-Webseiten einspielt. Nutzer infizieren sich, wenn sie einen kompromittierten E-Mail-Anhang öffnen, wobei hier die Datennamen des als ZIP gepackten Anhangs extra lang gewählt sind, damit die verräterische Endung „.exe“ bei vielen Nutzern in der Spalte des Windows Explorers nicht mehr auftaucht. Eine weitere Möglichkeit ist der Verweis via in der E-Mail angegebenem Link auf eine legitime, aber kompromittierte Webseite. Solche E-Mails mit schädlichen Links stammen scheinbar auch von anderen großen Unternehmen, etwa von der Deutschen Telekom AG oder DHL International GmbH, deren Erscheinungsbild perfekt gefälscht wurde.

Emotet verfügt über diverse Vorlagen für deutsche und österreichische Banken. Wird über ein infiziertes System eine Bankseite aufgerufen, und entspricht die Bank den Emotet-Vorlagen, wird komplett automatisiert mithilfe eines Skripts eine Mitteilung im Browser beispielsweise mit folgendem Inhalt erzeugt: Wegen der Einführung eines neuen Sicherheitssystems habe der Nutzer nur beschränkten Zugriff auf sein Konto, solange bis er eine Testüberweisung durchgeführt hat. Fällt der Nutzer auf den Social-Engineering-Trick herein, erfolgt mit der abgefischten CHIP-TAN- oder SMS-TAN-Nummern – ebenfalls automatisiert – eine reale Überweisung auf die Konten der Cyberkriminellen. Eine detaillierte Analyse zu Emotet ist unter www.viruslist.com/de/analysis abrufbar.

Kommentare gesperrt.

© 2019 Sehnde-News.