GIFs statt Malware: Unbekannter Hacker sabotiert Emotet-Botnet

Er übernimmt die Kontrolle über von der Emotet-Gang gekaperte WordPress-Seiten. Sie dienen der Verteilung der eigentlichen Schadsoftware. Diese ersetzt der unbekannte Hacker durch verschiedene animierte GIF-Dateien, was den Betrieb von Emotet massiv stört.

Ein unbekannter Hacker legt derzeit teilwiese den Betrieb des erst kürzlich reaktivierten Botnets Emotet teilweise lahm. Er ersetzt den Schadcode, der eigentlich über Emotet verbreitet werden soll, durch eine animierte GIF-Datei, was Opfer vor einer Infektion mit Malware bewahrt.

Hacker (Bild: Shutterstock)Der Angriff auf das Botnetz begann laut Forschern von Cryptolaemus, die sich mit den Aktivitäten von Emotet beschäftigen, am 21. Juli. Inzwischen sei rund ein Viertel aller Malware-Downloads über Emotet betroffen.

Die Hintermänner von Emotet nutzen die unter ihrer Kontrolle stehenden Systeme, um Phishing-E-Mails zu verschicken. Sie enthalten angeblich Unternehmenskommunikation und sollen Nutzer verleiten, angehängte Word-Dateien zu öffnen oder eingebetteten Links zu folgen, über die dann ein schädliches Dokument heruntergeladen werden soll.

Die schädlichen Dateien enthalten in der Regel Skripte oder Makros, deren Ausführung Nutzer bestätigen müssen. Erst danach gelangt die eigentliche Emotet-Malware aus dem Internet auf das System des Opfers. Oftmals hosten die Hintermänner ihre Schadsoftware auf gehackten WordPress-Websites.

Genau hier setzt nun der unbekannte Hacker mit seiner Sabotageaktion an. Die Emotet-Gang kontrolliert die gehackten Seiten über eine Web Shell, die auf Open-Source-Skripten basiert. Zudem stellte der Sicherheitsforscher Kevin Beaumont schon im vergangenen Jahr fest, dass alle Web Shells der Emotet-Hacker dasselbe Passwort nutzen, was Angriffe auf das Botnet begünstigt.

Dieses Passwort wurde nun wahrscheinlich geknackt. Der Saboteur ist dadurch in der Lage, die gehackten WordPress-Seiten seinerseits zu kontrollieren und die darüber angebotene Schadsoftware durch eine harmlose Datei – in diesem Fall eine GIF-Animation – zu ersetzen.

Nach Angaben des Cryptolaemus-Forschers Joseph Roosen ist den Hintermännern von Emotet das Problem bekannt. So sei das Botnet am Donnerstag abgeschaltet worden, offenbar um den Hacker aus dem System zu verbannen. Auch sonst arbeitete es derzeit nur mit rund einem Viertel seiner Kapazität.

Wer hinter dem Angriff auf Emotet steckt, ist nicht bekannt. Als mögliche Verdächtige gelten konkurrierende Cyberkriminelle oder ein Vertreter der Cybersicherheitsbranche.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Cybercrime, Hacker, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu GIFs statt Malware: Unbekannter Hacker sabotiert Emotet-Botnet

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *