Multi-OS-Strategie: Emotets Trickbot goes Linux

Die Vielseitigkeit der Schadsoftware-Toolchain Emotet beschäftigt seit geraumer Zeit Incident Responder, IT-Forensiker und Administratoren gleichermaßen. Nun kommt eine neue Facette hinzu, indem das angestammte Wirtsbetriebssystem Windows um Linux-Systeme ergänzt wird. Neben den offensichtlichen Linux-Servern (und ggf. -Clients) droht hier auch Persistenz über Embedded Linux in Geräten wie Druckern und Routern.

https://www.heise.de/news/Emotet-Trickbot-nimmt-Linux-Systeme-ins-Visier-4860584.html

Auch die Methodik der Angreifer entwickelt sich weiter, sodass nun reale Dateianhänge in E Mails gestohlen und für Angriffe verwendet werden.

https://www.heise.de/news/Betrueger-Mails-Emotet-klaut-Dateianhaenge-fuer-mehr-Authentizitaet-4857724.html

Ich bin wieder hier: Emotet is back in town

Nach den spektakulären Sicherheitsvorfällen des Heise-Verlags und des Berliner Kammergerichts war es die letzten Monate etwas ruhiger um Emotet. Doch wieder einmal war es die Ruhe vor dem Sturm, der sich nun mit berühmt-berüchtigten Klassikern wie Office-Anhang und Download-Link auf Office-Dokumente zurückmeldet. Traditionell (und nun wieder verstärkt) ist also Vorsicht mit Makros insbesondere (aber nicht nur) aus unaufgefordert zugesendeten Office-Dokumenten geboten.

https://www.heise.de/news/Emotet-Erste-Angriffswelle-nach-fuenfmonatiger-Pause-4847070.html

Altbekannte Malware im neuen Corona-Vehikel

Auch die altbekannten Malware-Familien Emotet und Nanocore RAT werden aktuell gezielt als Anhänge von E-Mails im Zusammenhang mit Corona versandt. Da Unternehmen aktuell auf die Krise reagieren müssen, werden allerorts viele, oft dringende E-Mails zu diesem Thema verschickt. Dies nutzen die Angreifer aus und hoffen so, mehr potenzielle Opfer mit ihrer Malware zu infizieren.

Rechnung von der Schwiegermutter: Emotet-Masche zieht

Die neue Masche von Emotet und Co., die Glaubwürdigkeit von SPAM-Nachrichten mit Viren-Anhängen zu erhöhen, indem Kontakte und frühere Konversationen bei bereits befallenen Opfern angezapft und genutzt werden, um neue potenzielle Opfer anzusprechen (wir berichteten), scheint unheilvoll zu ziehen. So traf es in den letzten Tagen unter anderem das Klinikum Fürth, die Stadtverwaltung Frankfurt und die Uni Gießen (wobei hier die Hintergründe noch nicht klar sind). Ganz nach dem Motto: Auch wenn es irgendwie merkwürdig ist, warum mir meine Schwiegermutter eine Rechnung schickt, klicke ich aus reiner Neugier trotzdem. Aktuelle Awareness-Kampagnen reichen nicht mehr aus, um die Nutzer immun zu machen.

https://www.faz.net/aktuell/rhein-main/diese-schadsoftware-hat-das-it-system-der-uni-giessen-befallen-16543809.html

Dies lässt sich gut im Rahmen einer größeren „Marktverschiebung“ zu immer komplexeren Viren lesen. Hier gut zusammengefasst von Heise: https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html