Seit dem 17. Juli dieses Jahres – dem Tag, als die Emotet-Bedrohung wieder neu aufflammte – hat das Threat Research Team von Proofpoint die jüngste Serie an Emotet-Kampagnen von TA542 genauestens analysiert. Dabei wurden viele Übereinstimmungen mit vergangenen Kampagnen, aber auch einige bemerkenswerte Neuerungen beobachtet.
Die Kampagnen in diesem Sommer haben ein durchschnittliches Volumen von knapp über 180.000 Nachrichten pro Tag, im Vergleich zu über 300.000/Tag Anfang dieses Jahres. Die E-Mail-Kampagnen von TA542 sind damit, gemessen am Nachrichtenvolumen, zwar weniger umfangreich als noch im Frühjahr, aber immer noch mit Abstand die am weitesten verbreiteten – nur wenige andere Akteure kommen dem auch nur nahe.
Darüber hinaus ist auch dieses Mal wieder eine Vielzahl von Branchen und Unternehmen auf der ganzen Welt von den Kampagnen betroffen. Eine Fokussierung auf bestimmte Sektoren lässt sich nicht erkennen.
Das ist neu bei Emotet
Bei den neuen Kampagnen wurde eine wichtige Veränderung festgestellt: TA542 hat die regionale Verteilung seiner E-Mail-Attacken und die dabei verwendeten Sprachen weiter ausgebaut.
Neben den bisher attackierten Ländern Deutschland, Österreich, Schweiz, Australien, Kanada, UK, USA, Neuseeland, Japan sowie den Vereinigten Arabischen Emiraten und Ländern in Lateinamerika, richteten sich die neuesten Angriffe auch an Empfänger in Finnland, Indien, Indonesien, Norwegen, Schweden, Vietnam sowie in den Niederlanden und auf den Philippinen. Zudem wurden die E-Mails auch hinsichtlich der darin verwendeten Sprachen angepasst: Diese umfassten nun auch Hindi, Indonesisch, Schwedisch, Norwegisch, Finnisch, Niederländisch, Vietnamesisch und philippinische Sprachen.
Eine weitere bedeutende Neuerung findet sich in der Payload, die Emotet in den derzeitigen Kampagnen nachlädt. TA542 hat die Schadsoftware so konfiguriert, dass Emotet die Banking Malware (bzw. Backdoor) Qbot installiert. Nach der Infektion eines Systems stellt Qbot eine Verbindung zu einem Remote Server her, so dass die Angreifer auf das betroffene System zugreifen können. Qbot ist dann in der Lage, Informationen wie Bank- und Finanzdaten zu stehlen sowie die getätigten Tastatureingaben zu protokollieren, wodurch Benutzernamen und Passwörter ausgespäht werden können. Ferner bedient sich TA542 in den aktuellen Kampagnen auch wieder des sogenannten „Thread-Hijacking“, also dem Einschleusen von E-Mails mit Schadinhalten in bestehende bzw. andauernde E-Mail-Threads, um die eigenen Angriffe via E-Mail legitimer erscheinen zu lassen.
Abbildung 1: Screenshot einer E-Mail, die im Rahmen der aktuellen Emotet-Kampagnen von TA542 in deutscher Sprache versandt wurde.
Weitere Informationen zu den aktuellen Erkenntnissen finden Sie hier (auf Englisch).
Eine detaillierte (technischere) Analyse der aktuellen E-Mail-Kampagnen von TA542 ist ebenfalls hier auf dem englischsprachigen Blog zu finden.