Ein unbekannter Hacker legt derzeit teilwiese den Betrieb des erst kürzlich reaktivierten Botnets Emotet teilweise lahm. Er ersetzt den Schadcode, der eigentlich über Emotet verbreitet werden soll, durch eine animierte GIF-Datei, was Opfer vor einer Infektion mit Malware bewahrt.
Die Hintermänner von Emotet nutzen die unter ihrer Kontrolle stehenden Systeme, um Phishing-E-Mails zu verschicken. Sie enthalten angeblich Unternehmenskommunikation und sollen Nutzer verleiten, angehängte Word-Dateien zu öffnen oder eingebetteten Links zu folgen, über die dann ein schädliches Dokument heruntergeladen werden soll.
Die schädlichen Dateien enthalten in der Regel Skripte oder Makros, deren Ausführung Nutzer bestätigen müssen. Erst danach gelangt die eigentliche Emotet-Malware aus dem Internet auf das System des Opfers. Oftmals hosten die Hintermänner ihre Schadsoftware auf gehackten WordPress-Websites.
Genau hier setzt nun der unbekannte Hacker mit seiner Sabotageaktion an. Die Emotet-Gang kontrolliert die gehackten Seiten über eine Web Shell, die auf Open-Source-Skripten basiert. Zudem stellte der Sicherheitsforscher Kevin Beaumont schon im vergangenen Jahr fest, dass alle Web Shells der Emotet-Hacker dasselbe Passwort nutzen, was Angriffe auf das Botnet begünstigt.
Dieses Passwort wurde nun wahrscheinlich geknackt. Der Saboteur ist dadurch in der Lage, die gehackten WordPress-Seiten seinerseits zu kontrollieren und die darüber angebotene Schadsoftware durch eine harmlose Datei – in diesem Fall eine GIF-Animation – zu ersetzen.
Nach Angaben des Cryptolaemus-Forschers Joseph Roosen ist den Hintermännern von Emotet das Problem bekannt. So sei das Botnet am Donnerstag abgeschaltet worden, offenbar um den Hacker aus dem System zu verbannen. Auch sonst arbeitete es derzeit nur mit rund einem Viertel seiner Kapazität.
Wer hinter dem Angriff auf Emotet steckt, ist nicht bekannt. Als mögliche Verdächtige gelten konkurrierende Cyberkriminelle oder ein Vertreter der Cybersicherheitsbranche.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
