Ein alter Bekannter nutzt eine neue Methode zur Verbreitung seiner Schadsoftware.

SecuMail behandelt Downloads wie Anhänge und schützt effektiv.

Gefährlichste Malware des Jahres nutzt nun Download-Links zur Verbreitung.

Die Schadsoftware Emotet hat in diesem Jahr viele, namhafte Unternehmen und öffentliche Einrichtungen massiv befallen und erhebliche Schäden angerichtet.

Bislang verbreitete Emotet sich über Office-Dateien im eMail-Anhang. Diese werden von eMail-Filtern zunehmend erkannt.

Um dem zu entgehen infiziert die Schadsoftware ihre Opfer jetzt über einen Download-Link. Das hat für die Malware-Macher mehrere Vorteile:

• Die Schadsoftware ist nicht Teil der eMail und daher von eMail-Filtern schwerer zu erkennen.

• Ist die Datei auf dem PC kann nur noch der Virenscanner helfen. Diese reagieren aber für eMail-Kampagnen viel zu langsam.

Täuschend echt

Um glaubwürdiger zu wirken nutzt Emotet Outlook-Harvesting, das Auswerten von Outlook-Daten gekaperter Rechner. Wird ein Rechner erfolgreich infiziert werden Adressbuch, eMail-Historie und Signaturen heruntergeladen und genutzt um täuschend echte Mails an ein neues Opfer zu versenden. 

Die Malware-Mails sind inhaltlich daher früheren, legitimen Mails äußerst ähnlich, was die Wahrscheinlichkeit eines fatalen Fehlers – dem Klicken auf den Download – erhöht. Das im Bild dargestellte Beispiel einer Emotet-Mail zeigt eine echte „gekaperte“ eMail-Korrespondenz, die mit einem Schad-Link versehen wurde.

SecuMail untersucht Downloads

Bei SecuMail werden ausgewählte Links untersucht, heruntergeladen und gemeinsam mit der eMail untersucht. Das heißt die Dateien, die sich hinter Links verbergen und damit mit nur einem Klick geöffnet werden können, unterliegen der gleichen eMail-Policy, wie die Attachments. Enthält der Download dann Makros oder ausführbaren Code, wird die gesamte eMail blockiert.

Damit schützt SecuMail schon seit langem vor dieser neuen Variante, ohne dass ein Update installiert werden musste. Zusätzlich empfiehlt SecuMail generell die Mitarbeiter entsprechend zu schulen (Awarenesstraining), um die Sicherheit weiter zu erhöhen.

Update 20.12.2019: Jetzt auch mit passwortverschüsseltem ZIP-Archiv

Pünktlich zum Start in die Weihnachtsferien legen die Emotet-Macher noch einen drauf: Die Malware versteckt sich jetzt auch in passwortverschlüsselten ZIP-Archiven. Auch diese Mails sind täuschend echt mit Original-Signaturen und zitierten Original-Mails.

Wir haben bei allen Kunden das Feature „Passwortverschlüsselte Archive verbieten“ aktiviert – auch wenn Sie dies in der Vergangenheit ausgeschaltet hatten. Die Bedrohungslage ist zu hoch um diese Attachments zuzulassen. Die Empfänger werden über die zurückgehaltenen Mails informiert und können sich diese über den Support nachsenden lassen – auch an den Feiertagen.