Vor einigen Tagen meldete sich Emotet, einer der grössten Gefahren für Unternehmen, mit einer beeindruckenden Malspam-Kampagne zurück. Um seine Spam-Kampagne zu starten, nahm die Schadtsoftware Emotet die Speer-Phising Taktik wieder auf, die bereits im Frühjahr 2019 eingesetzt wurde, indem es alte E-Mail-Threads mit personalisierten Betreffzeilen überschrieb und als alte Rechnungen auswies. Diese Woche wendeten die Angreifer jedoch eine bemerkenswerte neue Taktik an: Als Lockmittel wurde Edward Snowdens neues Buch "Permanent Record" verwendet.
Sicherheitsforscher von Malwarebytes zum Beispiel entdeckten Spam-E-Mails in Englisch, Italienisch, Spanisch, Deutsch und Französisch, die behaupteten, eine Kopie von Snowdens Buch in Word-Form zu enthalten. Cyber-Kriminelle sind dafür bekannt, dass sie aus Nachrichtenereignisse für Cyber-Angriffe und andere Social Engineering Zwecke Kapital schlagen wollen.
Beim Öffnen des Dokuments werden die Opfern aufgefordert, den Inhalt mit einer gelben Sicherheitswarnung zu aktivieren. Dabei wird eine gefälschte Meldung angezeigt: "Word wurde nicht aktiviert". Für den User ist jedoch nicht ersichtlich, was dann passiert. Es wird ein bösartiger Makrocode ausgeführt, sobald das Opfer auf die Schaltfläche drückt. Das Makro löst einen Powershell-Befehl aus, der die Emotet Malware-Binary von einer gefährdeten Wordpress-Site abruft. Nach der Infektion versucht das Gerät, einen der vielen Command and Control Servern (C2) von Emotet zu erreichen. Die Sicherheitsforscher von Malwarebytes bemerkten bereits einige Tage bevor der Spam eintrat, dass das Botnet anfing, mit den C2 sich auszutauschen.
Emotet-Angriffe stellen immer eine doppelte oder sogar dreifache Bedrohung dar, wenn sie nicht sofort unter Quarantäne gestellt werden. Und Follow-up-Nutzlasten wie Trickbot und Ryuk-Ransomware sind diejenigen, die jedes Unternehmen, das nicht vorbereitet ist, wirklich lahmlegen können.
