Emotet führt schädliche Skripte über OneNote-Dateien aus

Stefan Beiersmann,
Linkedin
Malware (Bild: Shutterstock.com/Maksim Kabakou)

Die Hintermänner von Emotet verstecken Visual-Basic-Skripte in Dateien im OneNote-Format. Per Skript wird eine DLL-Datei heruntergeladen, die schließlich Emotet selbst installiert.

Kaspersky hat festgestellt, dass das Malware des Botnet Emotet bei einer aktuellen Kampagne über eine neue Infektionsmethode verbreitet wird. Die Hintermänner setzen inzwischen auf OneNote-Dateien, um versteckte VB-Skripte auszuführen.

Die speziell gestalteten OneNote-Dateien müssen lediglich geöffnet werden, damit das Skript ausgeführt wird. Danach versucht es dann, eine schädliche Payload von verschiedenen Websites herunterzuladen, bis das System erfolgreich infiziert wurde.

Anschließend wird eine ebenfalls schädliche DLL-Datei im Temp-Ordner abgelegt und gestartet. Die DLL beinhaltet versteckte Befehle oder Shellcode sowie verschlüsselte Importfunktionen. Das ermöglicht es Emotet schließlich, die Kontrolle über das System zu erlangen und seinen eigentlichen Schadcode auszuführen.

DarkGate: Downloader mit vielen Funktionen

Darüber hinaus warnt Kaspersky aktuell vor einem neuen Downloader namens DarkGate, der mit untypischen Zusatzfunktionen ausgestattet ist. Dazu gehören ein verstecktes Virtual Network Computing (VNC), die Deaktivierung von Windows Defender, ein Reverse Proxy, unerlaubte Dateiverwaltung und das Abgreifen des Browserverlaufs und von Discord-Tokens. Die Malware wird außerdem über eine Vier-Stufen-Kette geladen und sie verwendet eine Verschlüsselungsart, die eine angepasste Version der Base64-Kodierung verwendet.

Die Forscher des Sicherheitsanbieters sind auch auf eine Phishing-Kampagne gestoßen, bei der der InfoStealer LokiBot Frachtschiffunternehmen ins Visier nimmt. Die Verbreitung erfolgt derzeit über E-Mails mit einem Excel-Anhang, wobei Nutzer aufgefordert werden, Makros zu aktivieren. Die Hintermänner nutzen dann eine bekannte Sicherheitslücke in Microsoft Office aus, die zum Download eines RTF-Dokuments führt. Das RTF-Dokument verwendet dann eine weitere bekannte Schwachstelle, um LokiBot einzuschleusen und auszuführen.

“Die Rückkehr von Emotet, die anhaltende Präsenz von LokiBot sowie das Auftauchen von DarkGate sind eine Erinnerung daran, dass sich Cyberbedrohungen ständig weiterentwickeln”, sagte Jornt van der Wiel, Senior Security Researcher bei Kaspersky. “Angesichts der Tatsache, dass sich diese Schadprogramme anpassen und neue Infektionsmethoden entwickeln, ist es sowohl für Privatpersonen als auch für Unternehmen entscheidend, wachsam zu sein und in robuste Cybersicherheitslösungen zu investieren. Unsere fortlaufenden Untersuchungen und Entdeckungen diese Malwarestämme betreffend unterstreichen die Bedeutung proaktiver Sicherheitsmaßnahmen zum Schutz vor stetig fortschreitenden Cybergefahren.”