Banking-Trojaner Emotet kehrt mit neuen Funktionen zurück

Forscher von Netscout haben sich mit den jüngsten Varianten des Banking-Trojaners Emotet beschäftigt. Die erstmals 2014 beschriebene Schadsoftware hatte sich im Mai zurückgezogen und ist nun seit September wieder verstärkt aktiv. Grund dafür ist eine Weiterentwicklung von Emotet hin zu einer modular aufgebauten Malware, mit der sich zusätzliche Payloads an Geldinstitute, Unternehmen und Verbraucher verteilen lassen.

Für die Umwandlung von einer Standalone-Malware zur Malware-as-a-Service soll eine Gruppe namens Mealybug verantwortlich sein. Sie ermöglicht es nun anderen Cyberkriminellen, den Code von Emotet so anzupassen, dass der Trojaner verschiedene Exploits sowie unterschiedlichste Funktionen unterstützt. Emotet ist somit nicht nur eine Banking-Malware, sondern auch für die Verteilung von weiterer Schadsoftware geeignet.

Der Analyse von Netscout zufolge nutzt Emotet nun verschiedene Tarntechniken, die bereits von Trickbot bekannt sind. Zudem wurden die Listen mit Befehlsservern und auch die RSA-Schlüssel erneuert. Das gilt auch für die Wortliste, mit der Namen für den eigenen Prozesse als Bot erstellt werden. Unter anderem werden nun Worte wie Engine, Finish, Magny, Resapi, Query und Skip benutzt. Die Forscher werten diese Liste nun aus, um neue Signatur-Dateien zu erstellen, die Nutzer von Emotet-Infektionen schützen können.

Darüber hinaus stellten die Forscher fest, dass fast täglich neue Binärdateien für Emotet verteilt werden. Jede neue Binärdatei enthalte rund 40 bis 80 Indikatoren für Befehlsserver. Die Befehlsserver wiederum seien weltweit verbreitet und nicht auf bestimmte Regionen konzentriert.

„Die Veränderungen in der Art und Weise, wie die Emotet-Autoren ihre Binärdateien und andere Schadsoftware packen, ständig Teile des Codes optimierte und die Konfigurationsdateien ändern, um Signaturen zu umgehen, zeigt das aggressive Verhalten der Malware-Autoren, indem sie nicht nur eine Erkennung ihrer Binärdateien vermeiden, sondern auch die der verteilten Malware“, erklärten die Forscher. Das mache ihre Operation so effektiv und dauerhaft, trotz aller Bemühungen, die Bedrohung zu beseitigen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte schon im September vor der neuen Angriffswelle gewarnt. Zu dem Zeitpunkt wurde das neue Buch von Edward Snowden als Lockmittel eingesetzt. Die Verbreitung erfolgte laut Sicherheitsforschern von Malwarebytes über Spam-E-Mails in verschiedenen Sprachen, darunter Deutsch.