Emotet: Bundeskriminalamt warnt vor neuer Spamwelle

21.07.2020
G DATA Blog

Nach einer Pause nimmt Emotet scheinbar wieder Fahrt auf. Das entspricht einem Muster, das wir aus der Vergangenheit bereits kennen.

Seit einigen Monaten ist es still geworden um das Allzweckwerkzeug der Onlinekriminellen. Perioden scheinbarer Inaktivität sind jedoch gerade bei Emotet kein Anzeichen dafür, dass die Schadsoftware „tot“ ist oder die Betreiber ihre Arbeit eingestellt haben. Doch was steckt hinter dem regelmäßigen Schweigen der Macher von Emotet?

Emotet ist mittlerweile ein professionell entwickeltes und komplexes Schadprogramm mit zahlreichen Funktionen. Von seiner ursprünglichen Funktion – dem Manipulieren von Onlinebanking-Transaktionen – ist mittlerweile nichts mehr übrig. Dafür hat sich Emotet auf andere Bereiche verlegt. Vom Abgreifen von Mailkontakten zur Erstellung detaillierter Kommunikationsprofile von Angriffsopfern bis hin zur Rolle als „Türöffner“ für andere Schadprogramme.

Feature- und Wartungsupdates

Diese Komplexität und Funktionsvielfalt will auch gepflegt sein – und genau das scheint auch diesmal wieder der Fall zu sein. Immer, wenn Emotet in den vergangenen Jahren eine Pause eingelegt hat, kam nach Ende dieser Unterbrechung eine neue Funktionalität dazu. Und auch jetzt, wo Emotet wieder verstärkt aktiv ist, konnten unsere Analysten Änderungen feststellen. Doch anders als in den vergangenen Jahren beschränken sich die Updates auf Änderungen „unter der Haube“. Neue Features konnten wir zum Veröffentlichungszeitpunkt dieses Artikels nicht finden. Eine der aktuellen Neuerungen ist, dass die Kriminellen jetzt bestimmte Zugriffe auf Windows-Programmierschnittstellen optimiert haben. So fragt Emotet normalerweise jedes mal ab, in welchem Bereich des Arbeitsspeichers eine bestimmte Funktion des Betriebssystems abgelegt ist. Diese Information legt Emotet in der neuesten Version in einem eigenen Zwischenspeicher ab, um diese Information nicht immer neu anfordern zu müssen.

Vorbereitung für neue Features

Was genau noch an Neuerungen in Emotet kommen wird, lässt sich nur schwer prognostizieren. Der Grund für dieses aktuelle „Wartungsupdate“ könnte sein, dass einfach nur die Performance des Schadprogramms verbessert wurde. Es ist aber ebenso gut möglich, dass dieses Update lediglich der Vorbereitung für ein künftiges Feature dient. Es bleibt also weiterhin spannend. Es gibt keine Anzeichen dafür, dass die Emotet-Entwickler ihre Arbeit eingestellt haben – eher im Gegenteil. Auch das Bundeskriminalamt warnt auf seiner Internetseite (Link öffnet sich in einem neuen Fenster) vor einer neuen Spam-Welle, die mit Emotet im Anhang kommt.

Das „Schweigen im Walde“ ist also Teil des normalen Entwicklungszyklus dieser grauen Eminenz unter den Schadprogrammen. Erst vor kurzem wurde eine Funktion bekannt, welche es Emotet ermöglicht, sich auch in benachbarte, schlecht gesicherte WLAN-Netze auszubreiten.

Mehr Informationen zu Emotet

Tim Berghoff
Security Evangelist