Die zeitweise als gefährlichste geltende Schadsoftware »Emotet« ist wieder unterwegs und das, obwohl Anfang des Jahres der Schlag gegen das Emotet-Netzwerk gelungen war. Damals wurden Server beschlagnahmt und die Emotet-Schadprogramme von den infizierten Systemen gelöscht. Doch nun haben mit der Malware Trickbot infizierte Maschinen neue Varianten installiert, bei denen Code und Arbeitsweise den bekannten Emotet-Samples ähneln. Anders als die bekannten Schädlingsversionen aus dem vergangenen Jahr nutzen die Server jetzt https mit selbst signierten Zertifikaten zur Absicherung der Kommunikation. Auch die Verschlüsselung zum Verstecken der Daten wurde leicht verändert. Offenbar unterstützt die Trickbot-Bande die Partner aus alten Tagen. Die neuen Emotet-Drohnen senden Malware-Spam via personalisierte E-Mails, die scheinbar von Kollegen oder Geschäftspartnern stammen. Das Ziel dabei ist es, die jeweiligen Empfänger zum Öffnen der angehängten Office-Datei zu verleiten. Die Botnetz-Experten von abuse.ch empfehlen deshalb allen Admins, vorsorglich die Command&Control-Server auf den Perimeter-Firewalls von Unternehmen zu blockieren und pflegen dafür eine Liste der IP-Adressen bereits bekannter Emotet-Server.
Den vollständigen Artikel finden Sie hier: