In den vergangenen Wochen hat Proofpoint eine ziemlich große, fortlaufende Kampagne mit unerwünschten E-Mails erkannt, die deutsche Anwender mit Phishing-Ködern zu locken versucht, um den Banking-Trojaner Emotet auf ihre Rechner zu bringen. Die Kampagne trickst die Reputationsfilter aus, indem pro Tag auf Dutzenden manipulierter Websites geklickt wird, von denen E-Mails mit einer gängigen und effektiven Vorlage des Typs „Kontobenachrichtigung“ verschickt werden.
Die Nachrichten selbst enthalten eine URL, die aussieht wie ein Link zu einer PDF-Datei mit Informationen über den neuen Handy-Vertrag des Empfängers. In Wirklichkeit jedoch führt die URL direkt zu einer komprimierten ausführbaren Datei, die den Banking-Trojaner „Emotet“ als herunterlädt.
http://www.proofpoint.com/threatinsight/images/emotet-1.png
Da viele Benutzer mittlerweile grunddsätzlich nicht mehr auf ausführbare Dateien klicken oder ZIP- und sonstige Archivdateien aus unbekannten bzw. nicht vertrauenswürdigen Quellen öffnen, wurde diese Archivdatei als PDF-Datei getarnt: Die URLs in den Nachrichten aktivieren eine Umleitung zu ZIP-Dateien, deren Namen dem E-Mail-Köder entsprechen (wie beispielsweise "rechnung_vodafone_de.zip") und in denen ausführbare Dateien komprimiert wurden. Die Dateinamen der ausführbaren Dateien stimmen ebenfalls mit dem Köder der Kampagne überein (z. B. „rechnung_vodafone_de_2014_11_930370025_023870007_11_de_0000003837_888830.exe“) und sind mit einem PDF- oder ähnlichen Dateisymbol versehen, das dem Benutzer vortäuscht, die ausführbare Datei sei tatsächlich ein sicheres Dokument. (In Wirklichkeit können PDF-Dateien so gefährlich wie eine komprimierte ausführbare Datei sein, aber die Erfahrung hat gezeigt, dass sie von Benutzern weniger argwöhnisch beäugt werden als andere Dateitypen.) Die Kombination aus Dateisymbol und langem Dateinamen verbirgt die Erweiterung des Dateinamens – ein raffinierter Trick:
Die Erfassung dieser Malware durch Antivirusprogramme ist dürftig: Weniger als 4 % der Antivirus-Engines erkannten die Datei, als sie probeweise versendet wurde.
Diese Kampagne verdeutlicht die regionale Veränderbarkeit von Malware. Während Phishing so etwas wie die internationale Spracheder Übeltäter ist, hängt die Effektivität von Malware – besonders die von Banking-Trojanern – stark von der regionalen bzw. sprachlichen Ausrichtung ab. (Emotet ist ein gutes Beispiel hierfür: Nach seiner ursprünglichen Entdeckung in Deutschland verbreitete sich der Trojaner in anderen Ländern; die Hacker passten ihn dazu der jeweiligen Landessprache an.) Die meisten modernen Banking-Trojaner operieren über „Web-Injektionen“, bei denen Teile einer Banking-Website gefälscht werden, um dem Benutzer Informationen zu entlocken. Damit diese korrekt funktionieren, müssen sie sprachlich versiert und ansprechend sein (d. h. mit nur wenigen oder gar keinen offensichtlichen Rechtschreib- oder Grammatikfehlern); ferner müssen Sie der Website der jeweiligen Bank angepasst werden.
Dieser Grad an Spezialisierung bedeutet, dass die Hacker ein Malware-Paket innerhalb einer bestimmten Region weitestgehend ausschöpfen, um ihren Return on Investment zu maximieren; infolgedessen haben Banking-Trojaner nach unserer Erkenntnis tendenziell eine stärkere regionale Ausrichtung als die meisten anderen Malware-Typen. Fest steht, dass Cyberkriminelle sich nach wie vor in Deutschland Chancen für ihre Emotet-Malware ausrechnen – und deutschsprachige Organisationen bzw. Benutzer sollten sich weiterhin vor diesen Phishing-Kampagnen in Acht nehmen.