Hinterhältiger Trojaner führt bestehende Mail-Kommunikation weiter  vom 17.05.2019

Schadsoftware Emotet verbreitet sich in erwarteter Antwort

© H.J. Henschel, LKA NI

Unsere Kollegen der Zentrale Ansprechstelle Cybercrime (ZAC) hier im LKA Niedersachsen haben auf eine veränderte Masche in Bezug auf die Verbreitung des Trojaners Emotet hingewiesen. Diese Meldung möchten wir Ihnen natürlich nicht vorenthalten, da sie in den letzten Tagen vermehrt festzustellen war.

Hierbei haben es Cyberkriminelle geschafft, durch z.B. Emotet einen Rechner/Server usw. einer Firma zu infizieren. Die infizierten Geräte wurden dadurch so manipuliert, dass die Schadsoftware darauf als Bot den eingehenden Mailverkehr übernimmt und automatisiert weiterführt.

Sie als Kunde schreiben diese Firma z.B. über eine Kontaktformular oder direkt per Mail an. In dieser Mail bitten Sie z.B. als Kunde um die Zusendung von Infomaterial, Broschüren usw.. Der Bot, der durch die Schadsoftware installiert wurde, antwortet eigenständig auf diese Mail. Hierbei wird sogar der Original-Text der ursprünglichen Mail mit angehängt. Zusätzlich wird mit einem schlichten Satz noch die beigefügte Word-Datei angepriesen.

Typische Sätze sind (auf deutsch, aber auch englisch möglich):

  • Alle Angaben entnehmen Sie bitte dem angehängten angeforderten Dokument.
  • Eine Dokumentation befindet sich im Anhang. 
  • Anbei erhalten Sie Ihre angeforderten Informationen für Ihre Unterlagen.
  • im Anhang dieser E-Mail erhalten Sie Informationen zu Ihrem Vertrag.
  • Your statement is attached. Please remit payment at your earliest convenience.
  • Please remit payment at your earliest convenience.
  • Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen.

Der Anhang selbst (Word-Datei) enthält dann Schadsoftware, die dann per Makrofunktion nachgeladen wird und dann bei Ausführung das nächste System befallen kann.

Diese Masche ist aufgrund dieser Vorgehensweise sehr gefährlich. Man schöpft durch das Vorfinden der eigenen Mail in der Antwort zunächst keinen Verdacht. Zudem bekommt man ja auch eine zuvor angeforderte Antwort und ggf. zuvor angeforderte Datei zugeschickt.

Wichtig ist, dass betroffene Unternehmen die Mitarbeiter auf diese Gefahr hinweisen und für diese Masche sensibilisieren. Weiterhin ist es empfehlenswert, auf der eigenen Webseite potentielle Kunden vor der Gefahr zu warnen, wenn die Infektion bekannt geworden ist.

Den Beitrag unserer ZAC sowie weitere Links zum Thema "Dynamit-Phishing" finden Sie Öffnet externen Link in neuem Fensterhier.