Go to Top

Neue Malware Angriffswelle trifft mittelständische Unternehmen

Eine neue Malware verbreitet sich in rasantem Tempo bei unseren Kunden. In den letzten 24 Stunden ist die Malware bei zwei unsere Kunden aufgeschlagen.
Es handelt sich um Emotet. Emotet ist ursprünglich ein Banking Trojaner, der es auf Bank Accounts und TANs deutscher, schweizerischer und österreichischer Banken abgesehen hat. Inzwischen kann er aber auch Email- und andere Accounts abgreifen.Es ist wichtig zu wissen, dass es aktuelle Varianten gibt, die versuchen sich selbst zu verbreiten, ähnlich aktueller Ransomware.

Emotet wird über Email Verteilt, i.d.R. handelt es sich um gefälschte Rechnungsanschreiben, die mehr oder weniger gut gemacht sind. Die Benutzer müssen aktiv handeln ( Datei über Link herunterladen und öffnen), um sich zu infizieren.

Folgendes sind die Merkmale der Malware:

  • Die Email ist i.d.R. von einem „Kollegen“ oder einem „Kunden“
  • Der Link ist von obscuren Domains: z.B. dragas.it oder ciarapoint.com
  • Es wird immer ein .doc File heruntergeladen. Der Name der Datei ändert sich regelmässig, in größeren Abständen auch der Inhalt.

Hier ein Beispiel für eine Email und das Word-File:

 

 

Was macht die Malware:

  • Das Word-File enthält ein VB-Macro, das verschleiertes ist, welches wiederum einen verschleierten Powershell Befehl Absetzt, der die eigentliche Malware herunterlädt und ausführt.
  • Die Malware meldet sich bei einem C&C Server über 443 in Klartext
  • Die Malware versucht Account Daten von dem lokalen PC zu stehlen, kann auch HTTPS Verkehr inspizieren.
  • Die Account Daten werden dann an einen C&C Server gesendet.
  • Desweiteren gibt es Varianten, die versuchen an lokale Admin-Accounts zu kommen, um diese zu nutzen anderen Computer über die Admin Freigabe zu infizieren.
  • Ein solch neu infizierter PC meldet sich beim C&C Server über Port 7080
  • Folgende Ports werden genutzt
    • TCP 80, 443, 8080, 7080

Folgendes können Sie tun:

  • Informieren Sie Benutzer. Awareness ist hier eine starke Waffe. Der Benutzer muss aktiv eine Datei mit obscurem Namen: Rechnun-scanXXX.doc herunterladen. Der Bnutzer muss die Datei öffnen und Macros ausführen.
  • Sophos Intercept X und Exploit Prevention erkenne die Attacke
  • Powershell darf nur signierte cmdlets ausführen
  • Sonicwall Capture erkennt die Malware – auch  neue Varianten
  • Netzwerksegmentierung mit Sonicwall Next-Gen Firewalls verhindert die Verbreitung der Malware im Netzwerk

One Response to "Neue Malware Angriffswelle trifft mittelständische Unternehmen"

  • Alexander Say
    13. Oktober 2017 - 04:03 Reply

    Der Artikel ist zwar schon ein wenig her, scheint jedoch immer noch aktuell zu sein. Die Makro-Malware war schon immer ein Problem. Schlimm nur, wer wirklich die Datei öffnet und das Makro aktiviert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.