Informationen zur Schadsoftware Emotet

Aus gegebenen Anlass finden Sie nachfolgend einige Hinweise zu Schadsoftware Emotet. Beachten Sie bitte den Absatz "Schadsoftware antwortet auf die E-Mail (neu seit Mai 2019)" und den Abschnitt "Schutz".

 

Allgemeine Beschreibung

Die Schadsoftware Emotet liest Kontakte und E-Mail-Inhalte (neu seit Ende 2018) auf den infizierten Systemen aus, um in einem zweiten Schritt authentisch erscheinende Phishing-Mails zu versenden. Phishing-Mails fordern den Empfänger auf, auf einer präparierten Webseite geheime Zugangsdaten wie z.B. Benutzername und Kennwort zu verschiedenen Internetdiensten preiszugeben. 

Die Experten gehen davon aus, dass die Verwendung von Emotet in den kommenden Quartalen zunehmen wird.

 

Vorgehensweise und Besonderheiten

Der erste Angriff ist immer eine E-Mail, an die entweder direkt ein Microsoft Office Dokument oder eine PDF-Datei angehängt ist, oder die einen Link auf solche Dokumente enthält. Diese Dateien enthalten ein Schadprogramm. Nach einer Infizierung des Rechners können weitere Schadsoftware nachgeladen werden.

Die E-Mails sind dabei an die verschiedenen "Zielgruppen" bzw. Sachverhalte angepasst: So werden diese z.B. als Bewerbungen oder Rechnungen getarnt. Es werden auch Betreff und Anrede aus den „echten“ E-Mails verwendet. Dabei wird in der Regel fehlerfreies Deutsch verwendet, weshalb Emotet insbesondere im gesamten deutschsprachigen Raum seit ein paar Jahren sehr "erfolgreich" ist. 

Schadsoftware „antwortet“ auf die E-Mail (neu seit Mai 2019): Man erhält eine „Antwort“ auf die eigene (tatsächlich geschriebene) E-Mail, zusätzlich wird eine Anlage versendet, die einen Schadcode enthält. Sehr häufig werden folgende Phrasen verwendet:

  • "Alle Angaben entnehmen Sie bitte dem angehängten angeforderten Dokument"
  • "Eine Dokumentation befindet sich im Anhang"
  • "Anbei erhalten Sie Ihre angeforderten Informationen für Ihre Unterlagen"
  • "im Anhang dieser E-Mail erhalten Sie Informationen zu Ihrem Vertrag"
  • "Your statement is attached. Please remit payment at your earliest convenience"
  • "Please remit payment at your earliest convenience"
  • "Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen"

 

Bereinigung/Entfernung

Im Fall einer Infizierung sollte Rechner so schnell wie möglich ausgeschaltet und vom Netz getrennt werden. Es wird dringend eine Neuinstallation des Systems empfohlen.

 

Schutz

  • E-Mails überprüfen
  • Verdächtige Links nicht anklicken
  • Verdächtige Dokumente nicht herunterladen
  • Verdächtige E-Mails sofort löschen
  • System aktuell halten (Updates installieren)
  • Daten sichern

 

Weitere Informationen


Zurück zu allen Meldungen