Kopierte Mails wirken täuschend echt. Enthaltene Links und Anhänge bergen aber große Gefahr.

Malware Emotet ist zurück

Posted on

Malware Emotet ist zurück

Emotet, der Trojaner, ist zurück

Die neue Taktik des Trojaners Emotet: Mails aus infizierten Postfächern zu kopieren und erneut zu versenden, um die Malware zu verbreiten. Vorsicht also.

Gefährliche E-Mails

Wir hatten schon Tipps zu gefährlichen E-Mail-Anhängen gegeben: Dieser Artikel ist immer noch aktuell. Leider. Sowohl der CERT-Bund (Computer Emergency Response Team) als auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnen derzeit nämlich vor einer neuen Spam- und Phishing-Welle: Die Schadsoftware „Emotet“ ist zurück. Dazu erklärte BSI-Präsident Arne Schönbohm schon im Dezember letzten Jahres auf der Homepage des BSI: „Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden.“

Der Trojaner Emotet reist mit Gepäck

Ein falscher Klick auf einen scheinbar seriösen Anhang oder Link – und der Trojaner wird heruntergeladen. Nicht nur liest er dann Kontakte und E-Mail-Inhalte aus Postfächern aus – die Cyberkriminellen benutzen die kopierten Inhalte und Adressen für die weitere Verbreitung der Malware. Außerdem hat Emotet zusätzliche Schadsoftware im Gepäck, er installiert diese selbständig. Das können zum Beispiel Banking-Trojaner wie Trickbot sein. Dieser greift inzwischen nicht mehr nur auf Daten im Online-Banking zu, sondern auch auf Passwörter, Cookies, Browser-Historien, Autofillin-Daten. Oder es kann Ransomware sein, die dann den befalle Rechner verschlüsselt, Sicherheitskopien löscht und den Kriminellen Erpressungsversuche ermöglicht. „Zahle, oder du bekommst deine Daten nie wieder“.

Bitte aufpassen: Absender und Links prüfen, Anhänge nicht öffnen

Also: Bitte aufpassen, die Mails wirken absolut echt, die Anhänge sind oft Office-Dokumente im Excel- oder Word-Format. Unten im Kasten haben wir auf einen Ratgeber-Artikel auf netzwelt.de verlinkt. Es lohnt sich, da einmal rein zu lesen, da auch seriöse Absender-Adressen wie die vom Bezahldienst Paypal, der Einkaufsplattform amazon, des Versandhändlers DHL und des Internet-Dienstleisters Telekom simuliert werden.

Außerdem ist es ganz leicht, die Adresse eines Links umzubenennen. Daher folgender Tipp: Fahren (nicht klicken!) Sie mit der Maus über den Link und schon wird Ihnen in einem kleinen Pop-up-Fenster am Mauszeiger anzeigt, welche URL sich hinter dem Link verbirgt. Weichen Link und tatsächliche URL voneinander ab, sollten Sie den Link nicht öffnen.

CERT-Bund zeigt Beispiele

Der Twitter-Account des @certbund zeigt in seinen Postings übrigens immer wieder Screenshots von Beispielen verdächtiger Absender, Links und Dokumente. Einfach den soeben verlinkten Account aufrufen und im Browser mal in die Postings reinlesen, dafür braucht man nicht mal einen eigenen Twitter-Account.