News Emotet ist zurück: Neue Variante der ge­fähr­lich­en Schad­software aufgetaucht

[Frank]

Anfang des Jahres rühmten sich die Generalstaatsanwaltschaft Frankfurt am Main (ZIT) und das Bundeskriminalamtes (BKA) mit der Zerschlagung der Schadsoftware Emotet, die als gefährlichste Schadsoftware der Welt galt. G Data hat nun erstmals eine neue Variante aufgespürt, die die Allzweckwaffe zurückbringen könnte.

Zur News: Emotet ist zurück: Neue Variante der ge­fähr­lich­en Schad­software aufgetaucht

 

[Wasserhuhn]

deren Quellcode

Ist der Quellcode denn geleaked worden oder veröffentlicht?
Weil die Aussage ansonsten falsch ist.

 

[Nero_XY]

Ist der Quellcode denn geleaked worden oder veröffentlicht?
Weil die Aussage ansonsten falsch ist.

Soll Profis geben die sowas wieder dekompilieren und analysieren können

 

[Wasserhuhn]

Nein.
Und dass das nicht geht, sieht man auch in der Quelle.
Es grüßt ein "Profi"

 

[leipziger1979]

Über diese Malware wird in Form der Loader_90563_1.dll nun Emotet auf infizierte Systeme nachgeladen

Ja, und woher kommt diese dll?
Das verraten einem die "Experten" wohl nicht?

Wie ich das bei solchen Meldungen hasse das man verschweigt wo und auf welchem Weg man sich was einfangen könnte!
Ich rate mal auf eMail Anhang?

 

[Wasserhuhn]

Steht doch in der Quelle?
Und zur Hälfte auch in dem von dir zitierten Abschnitt.

 

[Frank]

@Wasserhuhn Ja, Quellcode ist da nicht ganz korrekt, habe ich angepasst. Danke
@leipziger1979 In dem Fall wird sie über die Trickbot-Malware geladen, die man sich natürlich irgendwie eingefangen haben muss, ja. Netzbetreiber können die jeweils bekannten Emotet command & control server blocken, dazu gibt es IP-Listen. Aber das ist eben auch nur reagieren, nachdem sie bekannt geworden sind.

 

[BrollyLSSJ]

Das erklärt vermutlich auch die Spammails mit PDF Dokumenten die letzten 2 Wochen.

 

[Salutos]

@leipziger1979 , @Frank
Beispiel für eine Trickbot-Malware des ebenfalls trockengelgten Zeus-Botnetzes die heute noch von "vertauenswürdigen" Internetseiten wie Chip.de verteilt werden.
Wenn man nach "MP4 Player" googelt, führt der erste Eintrag zu Chip.de.
Ich frage mich weshalb Chip anstelle einer stümperhaften Warnung die Software nicht einfach löscht.
Installiert man diesen mp4 Player auf einem Firmenrechner, wird das Rating des Internetanschlusses schlagartig schlechter und man wunder sich warum.
Nach Installation versucht der "MP4 Player" sofort den Zeus-Controlserver zu erreichen, um die eigentliche Schadsoftware nachzuladen.
Spreche aus Erfahrung!
Habe die Chip in einer Mail auch ausführlich darauf hingewiesen, Reaktion null.
Das war im Juni 2020, wühlt mich aber gerade wieder mächtig auf.

 

[Dr. McCoy]

Botnetze werden halt immer wieder neu aufgebaut werden, so lange sie a) lukrativ sind und b) genügend Schwachstellen "da draußen" vorhanden sind, die massenhaft ausgenutzt werden können. Von daher verwundert mich das hier überhaupt nicht.

 

[Project 2501]

Rating des Internetanschlusses

Was darf man darunter verstehen?

 

[Crowbar]

Ja, und woher kommt diese dll?
Das verraten einem die "Experten" wohl nicht?

Wie ich das bei solchen Meldungen hasse das man verschweigt wo und auf welchem Weg man sich was einfangen könnte!
Ich rate mal auf eMail Anhang?

Es war Makro, es ist Makro, und es bleibt Makro.

 

[Salutos]

Was darf man darunter verstehen?

Internetanschlüsse von Firmen nutzen in der Regel feste öffentliche IP Adressen bzw. Adressblöcke, die sie für diverse Dienst nutzen. Beispiele dazu sind Mailserver, Webserver, VPN-Verbindung, Internetzugriff der Arbeitsplätze und viele mehr.
Es gibt Firmen wie bspw. BITSIGHT die Security Ratings für und über Firmen erstellen. Und das alleine aus Daten die sie von extern über ein Unternehmen sammeln können.
Dazu gehören bspw. Standorte, zugehörige IP-Adressen, welche Dienste betrieben werden, Personen, einfach alles.
Das ist echtes BigDATA!
Darüber hinaus wird bspw. über Honeypots oder Partnerunternehmen (ISPs etc.) geprüft, ob aus dem Unternehmensnetz heraus verdächtige Aktivitäten geschehen (Botnetzzugriffe, SPAMs, DoS Angriffe, etc.)
Sicherheitsscans gegen die ermittelten Dienste (Mail, FTP, Web, Firewall) gefahren und bewertet.

All diese Infos/Scores auf einem Zeitstrahl sagt viel darüber aus, wie sich ein Unternehmen um das Thema Sicherheit kümmert.

Ihr könnt euch nicht im geringsten vorstellen was da schon alles geht.

 

[zEtTlAh]

All diese Infos/Scores auf einem Zeitstrahl sagt viel darüber aus, wie sich ein Unternehmen um das Thema Sicherheit kümmert.

Kann ich nur bestätigen. Wir hatten selbst mal das Problem, dass wir bei den großen Herstellern von Filtersystemen automatisch auf der Spam Liste gelandet sind weil das Marketing meinte, zu viele Mails verschicken zu müssen. Und das war eine legale Aktion über einen langen Zeitraum.

"Infizierte" Firmen können innerhalb von Stunden auf allen Blacklists der Welt landen. Und da wieder runter zu kommen ist meist unmöglich.

 

[OliverL87]

Das kann ich auch bestätigen.
Das Marketing meiner alten Firma war auch daran schuld und hat sogar noch einen Loop bei den Mails gebaut.

 

[Gonzo28]

Kann ich nur bestätigen. Wir hatten selbst mal das Problem, dass wir bei den großen Herstellern von Filtersystemen automatisch auf der Spam Liste gelandet sind weil das Marketing meinte, zu viele Mails verschicken zu müssen. Und das war eine legale Aktion über einen langen Zeitraum.

"Infizierte" Firmen können innerhalb von Stunden auf allen Blacklists der Welt landen. Und da wieder runter zu kommen ist meist unmöglich.

Von diesen Listen verschwindet man in der Regel automatisch, wenn das Fehlverhalten 24,48 oder mehr Stunden aufgehört hat. Ebenso kann man in der Regel eine Austragung beantragen.

Wer nicht im Spam landen möchte sollte das volle Programm auffahren. SPF, DMARC, DKIM. Wenn man einmal weiß wie, ist das auch ganz einfach.

 

[Salutos]

Abschließende Ergänzung zum Thema Trickbot-Malware.
Trickbot-Malware findet man nicht nur in Software (meist freien Tools) für den Endanwender.
Eine Ebene höher in der Softwareentwicklung werden in Software-Repositories wie Github scheinbar nützliche Erweiterungen, PlugIns, auch Docker-Container, etc. feilgeboten, in und mit denen sich Schadcode verbreiten lässt und auch wird.
Nein, ich möchte damit nicht OpenSource Software oder die Community diskreditieren, halte sie für nützlich und wichtig. Aber die wenigen schwarzen Schafe können ordentlich Schaden anrichten.

 

[zEtTlAh]

Wer nicht im Spam landen möchte sollte das volle Programm auffahren. SPF, DMARC, DKIM.

Richtig.

 

[BxBender]

Das erklärt vermutlich auch die Spammails mit PDF Dokumenten die letzten 2 Wochen.

Ich hatte noch keine Zeit zum Lesen, ich bin noch bei den ganzen Media MArkt und Maazon Gutscheinen dran.
Und meine 5 Banken wollen was von mir, wobei ich ja nur bei zwei von denen einen Account besitze. ^^

 

[Salutos]

Wer nicht im Spam landen möchte sollte das volle Programm auffahren. SPF, DMARC, DKIM. Wenn man einmal weiß wie, ist das auch ganz einfach.

SPF, DMARC,DKIM sind für viele selbst heute noch spanische Dörfer.
Und ja, ist alles einfach zu konfigurieren.