Emotet: CERT-Bund warnt vor gefälschten Microsoft-Mails

Die Windows-Malware Emotet wird über eine neue Angriffswelle mit E-Mails verbreitet, die angeblich von Microsoft kommen und über Änderungen eines Servicevertrags informieren. Vor den in großem Umfang versandten Phishing-Mails warnt das CERT-Bund (Computer Emergency Response Team der Bundesverwaltung), das im BSI angesiedelt ist: „NICHT die Links in der E-Mail anklicken!“

Im Gegensatz zu vielen anderen Phishing-Kampagnen wirken Gestaltung und Text der gefälschten Mails glaubwürdig. Sie sind nicht in Radebrech-Deutsch gehalten, ihre Rechtschreibung ist stimmig. Sie bedienen sich einfach bei den Floskeln und juristischen Formulierungen echter Aussendungen, um zu unüberlegten Klicks zu verleiten. In Onlineforen fragen sich verunsicherte Nutzer nicht ohne Grund immer wieder, ob solche eingegangenen E-Mails echt sind oder nicht.

„Der Servicevertrag ist jetzt übersichtlicher gestaltet“, heißt es in den gefälschten Mails. Sie erreichen die Empfänger angeblich aufgrund von Änderungen am Microsoft-Servicevertrag, der für von ihnen genutzte Produkte gelte. „Die Nutzung unserer Heimanwenderprodukte und -dienste (einschließlich Käufen) ab dem 13. Februar 2019 gilt als Zustimmung ihrerseits zum aktualisierten Microsoft-Servicevertrag“, erklärt die Aussendung dann. „Wenn Sie den Bestimmungen nicht zustimmen, können Sie die Produkte und Dienste nicht mehr nutzen und sollten Ihr Microsoft-Konto schließen, bevor die Bestimmungen in Kraft treten.“

Die enthaltenen Links führen angeblich zu einem vollständigen neuen Microsoft-Servicevertrag und einem Formular zur Schließung des Microsoft-Kontos. Der Text spricht auch noch ausdrücklich Elternteile oder sonstige Erziehungsberechtigte an, da sie für die Nutzung von Microsofts Produkten und Diensten durch ihre Kinder oder Teenager verantwortlich seien. „Vielen Dank, dass Sie Produkte und Dienste von Microsoft nutzen“, schließt die Phishing-Mail.

Emotet wird immer wieder verwendet

Eine ähnliche Emotet-Angriffswelle zielte im Dezember auf Kunden der Deutschen Telekom. An die Mails waren gefälschte Rechnungen als Word-Dateien angehängt, die Makros enthielten. Ließen Empfänger deren Ausführung zu, mussten sie mit der Installation von Malware rechnen. Schadsoftware konnte sich auch einhandeln, wer auf in einem angehängten PDF-Dokument enthaltene Links klickte.

Die Telekom empfahl die sofortige Löschung verdächtiger Mails, ohne auf Links innerhalb einer solchen Nachricht zu klicken. Während sie im Fall einer bereits erfolgten Infektion die Säuberung mit einer Software wie EU-Cleaner empfahl, ging das BSI für Bürger in einer aktuellen Information zur Schadsoftware Emotet weiter und riet, einen infizierten Rechner neu aufzusetzen. Bereinigungsversuche bleiben laut BSI in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben. Darüber hinaus meldete das BSI (Bundesamt für Sicherheit in der Informationstechnik), dass Emotet ganze Unternehmensnetzwerke lahmlegt. An Unternehmen und Institutionen richten sich die empfohlenen Maßnahmen zum Schutz vor Emotet, die das BSI im Rahmen der Allianz für Cyber-Sicherheit aussprach.

Im Januar berichtete Ciscos Sicherheitssparte Talos von mehreren aktuellen Malwarekampagnen, in deren Mittelpunkt an E-Mails angehängte Microsoft-Word-Dateien stehen, in denen bösartige Makros für den Download von Emotet eingebettet sind. Laut Talos setzen die Hintermänner Emotet inzwischen ein, um modulare Schadsoftware auszuliefern. Neben Banking-Trojanern können das auch andere Bedrohungen wie etwa Ransomware sein. Die Auswahl der Module erfolgt offenbar nach den jeweils besten Aussichten, mit den infizierten Systemen Geld zu verdienen. Emotet begann einst als reiner Banking-Trojaner, hat sich aber in den letzten Jahren immer weiter entwickelt und fiel in jüngerer Zeit durch zahlreiche gezielte Infektionen mit Ryuk-Ransomware auf.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

13 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

17 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

18 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

18 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

18 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

20 Stunden ago