Zusammenfassung
Emotet gilt als die derzeit am weitesten verbreitete sowie als die zerstörerischste und kostspieligste Malware (1). Sie verbreitet sich hauptsächlich über Phishing-E-Mails, die einen bösartigen Link oder ein infiziertes Dokument enthalten. Sobald die Opfer die Datei herunterladen oder auf den Link klicken, wird automatisch zusätzliche Malware auf ihr Gerät heruntergeladen, die sich dann im Unternehmensnetzwerk vervielfältigt.
Trotz seiner massiven Zerschlagung im Januar 2021 dank internationaler Strafverfolgungs- und Justizbehörden (1) floriert Emotet weiter und verbreitet Malware mit immer raffinierteren Tricks. Eine der Taktiken nutzt eine Windows-Verknüpfungsdatei (.LNK), die PowerShell-Befehle enthält, um die Emotet-Nutzlast auf das Gerät des Opfers herunterzuladen, die wir in unserem letzten Blog analysiert haben. Der Autor der Bedrohung hat diese Anpassung als Reaktion auf den von Microsoft eingeführten VBA-Schutz vorgenommen.
Im April 2022 wurde eine neue Emotet-Kampagne gesichtet, die gezippte .LNK-Dateien missbraucht. In diesem Blog analysieren wir diesen Vektor und zeigen, wie Sie diese Art von Malware mit OPSWAT MetaDefender verhindern können.
Emotet-Infektionskette
Die Betreiber des Emotet-Botnets starten den Angriff mit einer Spam-E-Mail, die eine passwortgeschützte bösartige Zip-Datei mit einer eingebetteten Verknüpfungsdatei (.LNK) enthält. Sie missbrauchen die Verknüpfungsdatei, da sie schwer zu erkennen ist. Die Datei ist als Dokumentdatei mit einem Symbol getarnt, und die Erweiterung wird in Windows standardmäßig nicht angezeigt.
Nachdem die Opfer die Zip-Datei entpackt und die .LNK-Datei ausgeführt haben, wird ein schädliches Microsoft VBScript (Visual Basic Script) im temporären Ordner ihres Geräts abgelegt.
Das abgelegte VBScript führt die Emotet-Nutzlast aus und lädt sie von einem Remote-Server herunter. Sobald die Binärdatei heruntergeladen ist, speichert sie die Datei im temporären Verzeichnis von Windows und führt sie mit regsvr32.exe aus. Sobald Emotet infiziert ist, vervielfältigt er sich und verbreitet sich auf andere Computer im Netzwerk.
Wie man Emotet und ähnliche fortgeschrittene Angriffe verhindert
Es gibt zahlreiche Empfehlungen und Anleitungen von Regierungsbehörden und Cybersicherheitsexperten auf der ganzen Welt, die Nutzern dabei helfen sollen, ausgeklügelte Emotet-Kampagnen zu erkennen und abzuwehren (2), z. B:
- Öffnen Sie keine dubiosen E-Mail-Anhänge und klicken Sie nicht auf verdächtige Links im Text der E-Mail.
- Stellen Sie sicher, dass Ihre Mitarbeiter ausreichend geschult sind, um verdächtige E-Mail-Links und -Anhänge zu erkennen.
- Halten Sie Ihr Betriebssystem, Ihre Anwendungen und Ihre Sicherheitssoftware auf dem neuesten Stand.
Mit OPSWAT Email Gateway Security und OPSWAT MetaDefender Core. Unsere marktführende Deep CDR™-Technologie (Content Disarm and Reconstruction) deaktiviert sowohl bekannte als auch unbekannte Bedrohungen, die in Dateien versteckt sind. Gemäß unserer Zero-Trust-Philosophie gehen wir davon aus, dass alle Dateien, die in Ihr Netzwerk gelangen, bösartig sind. Daher scannen, bereinigen und rekonstruieren wir jede Datei, bevor sie Ihre Benutzer erreicht. Alle in Dateien versteckten aktiven Inhalte werden neutralisiert oder entfernt, wodurch eine bedrohungsfreie Umgebung für Ihr Unternehmen gewährleistet wird.
Die aktuelle Emotet-Bedrohung wird wie folgt verhindert:
1.OPSWAT Email Gateway Security stellt passwortgeschützte Anhänge unter Quarantäne.
2 Um den Anhang herunterzuladen, müssen die Empfänger dem Quarantänesystem das Passwort der Datei mitteilen.
3.MetaDefender Core scannt die Datei mit unserer Multiscanning-Lösung namens Metascan auf bekannte Malware. Wie unten dargestellt, haben 11/16 Engines die Bedrohung erfolgreich erkannt.
4. MetaDefender Core den Anhang und bereinigt jede verschachtelte Datei rekursiv mithilfe der Deep CDR™-Technologie. Das untenstehende Ergebnis zeigt, dass ein Objekt gefunden und entfernt wurde.
Während des Bereinigungsvorgangs ersetzte die Deep CDR™-Technologie den schädlichen Befehl der .LNK-Datei durch die Datei „dummy.txt“, um die Bedrohung zu neutralisieren.
5.Email Gateway Security gibt die E-Mail mit einem bedrohungsfreien Anhang an die Benutzer frei. Hier ist das Scan-Ergebnis der Datei nach der Bereinigung. Es wurde keine Bedrohung erkannt.
Die Benutzer können nun den Anhang auf ihrem Computer entpacken und die LNK-Datei generieren, ohne sich Gedanken über Sicherheitsprobleme zu machen. Selbst wenn die Benutzer die LNK-Datei öffnen, wird keine Malware heruntergeladen, da der bösartige Befehl der LNK-Datei ersetzt wird.
Erfahren Sie mehr über die Deep CDR™-Technologie oder kontaktieren Sie uns, um die besten Sicherheitslösungen zum Schutz Ihres Unternehmensnetzwerks und Ihrer Nutzer vor gefährlichen und komplexen Cyberangriffen zu entdecken.
Referenz
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
