Das Emotet-Botnetz erwacht wieder zum Leben

Eines der größten Botnetze wurde Anfang 2021 bei einer internationalen Strafverfolgungsoperation gestört und abgeschaltet. Jetzt, mehr als ein Jahr später, zeigt dasselbe Botnetz wieder Lebenszeichen und es scheint, dass es neue Hörner und Stacheln bekommen hat in der Zeit, in der es schlummerte. Das fragliche Botnet ist das berüchtigte Emotet- Bot-Netzwerk – ein Netz aus kompromittierten Geräten, die für verschiedene böswillige Zwecke verwendet werden.

Was ist Emotet?

Ein Botnetz könnte von der Partei, die die kompromittierten Geräte oder „Bots“ kontrolliert, für eine Reihe von böswilligen Aufgaben verwendet werden. Im Fall von Emotet wurde das Netzwerk verwendet, um Malware zu verbreiten, und Bots wurden an andere böswillige Parteien vermietet, ähnlich dem Ransomware-as-a-Service-Modell, das nur den Zugriff auf die kompromittierte Geräteinfrastruktur verkaufte.

Nun hat ein Forschungsteam der Sicherheitsfirma Proofpoint „Emotet-Aktivität in geringem Umfang“ identifiziert und sie als „drastisch“ anders als die reguläre Art und Weise beschrieben, wie das Emotet-Botnet betrieben wurde.

Emotet wird jetzt über E-Mail-Kampagnen verbreitet. Die E-Mail-Adressen, von denen die bösartigen Nachrichten stammen, scheinen laut Forschern kompromittiert zu sein, da das Emotet-Spam-Modul nicht verwendet wurde, um sie an die Empfänger zu senden.

Neue bösartige E-Mail-Kampagne verbreitet Emotet

Die E-Mails waren einfach aufgebaut – Betreffzeilen aus einem Wort, wie z. B. „Gehalt“. Dies ist ein einfacher, aber effektiver Trick, um die Aufmerksamkeit des Opfers zu wecken und den Benutzer dazu zu bringen, sich durch den Inhalt der E-Mail zu klicken. In diesem Fall enthalten die E-Mails nur einen einzigen Link zu OneDrive.

Die OneDrive-Links verweisen auf MS Excel XLL-Dateien, die in einem ZIP-Archiv abgelegt sind. Die darin enthaltenen Archivdateien und Excel-Dokumente sind alle ähnlich dem Betreff der Mail benannt. In dem von Proofpoint bereitgestellten Beispiel hieß das Archiv „Salary_new.zip“ und die darin enthaltene Excel-Datei „Salary_and_bonuses-04.01.2022.xll“.

Sobald der Benutzer die Excel-Datei extrahiert und versucht, sie zu öffnen, wird Emotet gelöscht und bereitgestellt.

Angesichts des geringen Volumens der Kampagne im Gegensatz zu dem üblichen aggressiven Spam-Ansatz mit hohem Volumen, der zuvor von Emotet verwendet wurde, glauben die Forscher, dass die Malware-Betreiber neue Ansätze und Techniken testen und neue Wege testen, um eine automatische Erkennung zu vermeiden.