News Emotet: Der König aller Schadprogramme ist zurück

[wern001]

Diese Mails mit Anhang oder Links werden zum Teil auf den Empfänger zugeschnitten. Die sehen auf den ersten Blick aus als wären sie von einem vertrauenswürdigen Absender.
Bitte mal den Emotet Angriff auf den Heiseverlag nachlesen. Ist noch gar nicht so lange her.
Hab da gerade keinen passenden Link zur Hand.

 

[Blaze1987]

Gmail, Microsoft selbst sind sauber vom Junk-Mail Bereich.

Ich denke man sollte wirklich immer mit 2 Mail Adressen hantieren.

Eine Fun und eine richtige.
Der Schund und Werbezeugs wird kuntinuierlich im Gmail Account gelöscht (Github Abonnements welche im Loop laufen nerven auch ... 😉)
Meistens sind es aber auch Firmen mit älteren Mitarbeitern, welche einfach mal neugierig sind was passieren könnte ... Schon gehört im Support. Kein Witz. .

Ich denke mittlerweile ist Security bereits Verhaltensweisen gesteuert (blockt unsigned Anwendungen, Prozess ruft Prozess -, Script - und Netzwerkverkehr Abfolgen / Muster analysieren mit KI und Sandbox bei unbekannten Verhalten).
Die Standards, wie FW für DMZ und Mailfilter und Systemhärtung, Patching, Endpunktgesamtbetrachtungskonzept (schwierig bleiben Domänen Administrator Geräte) sollten natürlich für mittelständische digitale Unternehmen vorhanden sein.

Emotet ist einfach nicht nur eine Malware, sondern nutzt social communications für eine logische Abfolge sich zu festigen selbst nach Löschung, tarnen, Code / Scripte nach zu laden und sich im Netzwerk zu verbreiten für crypto Attacken und Lösegeld Forderungen in großem Stil.

Selbst UEFI / Bios / Intel ME , Grafikkartentreiber, Chipsatz Treiber, Asus Zertifikatstrust bei Live Updater waren / sind Einfallstore etc...

Nicht nur Heise, eine Behörde oder private Firmen (selbst Energieversor waren betroffen) mit aktivierten Makros, sondern vor allem durch Administrator Accounts und deren Standard Nutzung...

Hatten die überhaupt die UAC aktiv?

 

[pedder59]

Es fehlt wie immer die wichtigste Iformation:
Nur Windows-PCs betroffen!

Es spielt dabei keine Rolle ob nun win10 mit den neuesten Firlefanz-update oder ein sonst verlässliches Win7.

 

[andi_sco]

@pedder59
Emotet und Mac Quelle: heise.de

Die Geräte selber sind nicht betroffen, können es aber verbreiten:

Bislang scheint Emotet rein auf Windows-Systeme abzuzielen, mit den gefälschten Apple-Mails sollen also iPhone-Besitzer mit iCloud-Account und Windows-PC angesprochen werden. Vereinzelt sind in den vergangenen Jahren aber auch manipulierte Word-Dokumente aufgetaucht, deren Makro-Malware speziell auf macOS ausgelegt ist – entsprechend sollten auch Mac-Nutzer Links und Dokumente in derartigen Warn-Mails keinesfalls anklicken und öffnen.

 

[reichsverweser]

Wir sollten wieder zu Papier und Bleistift retour
Da schau ich mir dann einen Hackerangriff an...

 

[tunichgut]

@reichsverweser
"Mit Bleistift und Papier kann man auch Feuer machen -
ich bin für Rauchzeichen wie bei Winnetou.
Den Hackerangriff will ich mal sehen "

 

[pseudopseudonym]

Hoffentlich wird laut Alarm geschlagen, falls das Ding doch mal Linux-kompatibel ist. Aber bisher kann ich wohl gelassen bleiben.

 

[MUC]

Genauso wie ich schon vor über einem Jahrzehnt E-Mail Programme am PC verbahnt habe. Egal ob von Windows vorinstalliert oder nicht. Sie werden nicht genutzt weil sie egal wie gut man sie konfiguriert , sie ein Sicherheitsrisiko darstellen.

Ich lese mails auch nur am Handy. Wir hatten in der Arbeit mal einen IT Security Experten da, der gezeigt hat, dass Viren usw. in Android und OS bei nahezu 0% sind, weil es dort einfach nicht geht einen Schadcode auszuführen.

 

[Capthowdy]

@MUC du verwechselst "geht nicht" mit "ist nicht vorgesehen", aber tröste dich, den Fehler machen viele.

 

[Tulol]

Ach Leute, es gibt so viele diletantisch geführte größere Unternehmen in denen nur von heute auf morgen geplant wird. Da sind solche Dinge wie IT Sicherheit völlig gleichgültig.
Ja, ich spreche aus Erfahrung.
Da werden Kameras und Alarmsysteme komplett abgestellt weil ein "nerviger" Defekt vorlag und die Reparatur einen dreistelligen Eurobetrag fällig wäre. So eine Alarmanlage generiert eben genausowenig Umsatz wie eine vernünftige IT Struktur.
Und nur das ist es was Interessiert.

Das ist tatsächlich Normal.
Und es gibt defacto kein geschultes Personal in diesen Bereichen und Industriezweigen. Einfach weil es sich, kurzfristig, nicht lohnt und langfristig nicht interessiert.
Selbst wenn etwas Passiert, dann wird kurz aufgeatmet weil: Jetzt ist es eben passiert, nun haben wir wieder für viele Jahre Ruhe. 🤦‍♂️

 

[amigo99]

Meine Empfehlung seit vielen vielen Jahren: Jeden Link und Anhang zuerst an seinem iPhone/iPad öffnen. Das ist sicher.

Würde eher Android-Phone nehmen, iPhones gelten inzwischen als unsicher, was sich anhand der Expolit-Preise darstellt ;-)

 

[estros]

Je höher die Preise, desto sicherer ein OS, würde ich viel eher sehen. Preis und Nachfrage eben.

 

[amigo99]

Je höher die Preise, desto sicherer ein OS, würde ich viel eher sehen. Preis und Nachfrage eben.

Also Linux = unsicher und Windows = sicher? sind sie sicher ;-)?
Oder meinten sie die Exploit-Preise?

https://curved.de/news/android-handys-sicherer-als-iphones-669902

 

[GrinderFX]

Wir sollten wieder zu Papier und Bleistift retour
Da schau ich mir dann einen Hackerangriff an...

Den gibts auch, indem man gefälschte Dokumente unter schiebt wie z.B. einen Brief von der Polizei wegen zu schnell fahren usw..
Da gibt es unzählige Möglichkeiten von bis zu Zugriff auf dein Konto...

 

[chrigu]

das klassische Lockdown Problem.
man hat im keller einen alten pc, der nicht mehr rund läuft, steckt diesen ans internet (könnte ja sein, das der inzwischen wieder läuft) und schon ist der emotet wieder aktiv.

 

[storkstork]

Ich hab dieses Jahr eine ausserordentlich interessante Mail bekommen. Wir fahren jeden Herbst zu einem befreundeten Verein ins Trainingslager. Dazu tausche ich Mails mit dem dortigen Vorstand aus, wegen der genauen Termine etc. Vor ein paar Monaten habe ich eine Mail von einem der dortigen Vorstandsmitglieder bekommen. Es war eine Antwortmail aus dem besteheden Mailverkehr des letzen Jahres. Also es waren mehrere Original-Nachrichten in der Mail.
Dass es sich um Spam/Betrug handelt habe ich daran gemerkt, dass die Mail mit dem Satz endete: Es gibt noch ein paar Dinge zu klären. Sei doch bitte ein Schatz und fülle kurz die offenen Punkte aus.

Den Anhang der Mail habe ich natürlich nicht geöffnet und mich direkt beim Vorstand des anderen Vereins gemeldet, dass da etwas nicht stimmt, dass sie bitte nicht auf den Anhang klicken sollen, wenn sie die Mail auch bekommen haben.

Es hat mich sehr fasziniert, wie da jemand den bestehenden Mailverkehr genutzt hat um mir etwas unterzujubeln. Ob sowas automatisiert stattfinden kann, oder ob da jemand mit viel Mühe meine oder andere Mails ausgewertet hat?

Es ist also nicht immer so einfach, zu sagen, mit ein bisschen Nachdenken kann mich das nicht treffen. Wäre diese auffällige Schlussformel mit dem "sei doch bitte ein Schatz" nicht gewesen, hätte ich den Anhang wohl geöffnet. Käme solch eine Mail von anderen Personen aus dem Vereinsumfeld/Freundeskreis, würde ich mir vielleicht auch nichts bei solch einer Schlussformel denken

 

[Rollo3647]

Es hat mich sehr fasziniert, wie da jemand den bestehenden Mailverkehr genutzt hat um mir etwas unterzujubeln. Ob sowas automatisiert stattfinden kann, oder ob da jemand mit viel Mühe meine oder andere Mails ausgewertet hat?

So wie ich das verstanden hab macht Emotet das mittlerweile automatisch wenn der PC des Vorstandsmitglieds infiziert ist. Er nutzt vorhandene eMails, sprachmodule kann Emotet ja passend nachladen vom "Autor"

 

[Bright0001]

w/ highly obfuscated malicious macros that run a PowerShell script to download the payload from 5 download links

Wäre es nicht möglich - mit Einsatz entsprechender Ressourcen - diese 5 Links von Seiten der "Guten" zu DDoSen solang der Virus sich noch selbst weiter verbreitet? Wäre zwar keine Impfung, aber Symptome abmildern ist doch auch schon was.

Dieses Programm hat noch einen Herren und Meister. Aktuell ist das alles noch Kleinvieh.

Wenn du das erste mal von einem Programm gehackt wirst, was niemand selber geschrieben hat und welches nicht auf Servern läuft, wirst du panisch. Da gibt es dann keine bösen Menschen aus [Land hier einsetzen], die Schuld sind.

Könntest du weniger orakeln und mehr Klartext reden?

 

[riloka]

Wäre es nicht möglich - mit Einsatz entsprechender Ressourcen - diese 5 Links von Seiten der "Guten" zu DDoSen solang der Virus sich noch selbst weiter verbreitet? Wäre zwar keine Impfung, aber Symptome abmildern ist doch auch schon was.

Das sind gehackte Seiten, da triffst du nur eine handvoll Unschuldige während die nächste Runde Mails mit anderen gehackten Seiten/Accounts schon versendet wird.
Ausserdem ist DDoS strafbar.

 

[Bright0001]

@riloka
Mhm ne, aus dem Tweet liest sich das so, also ob das ein "kompiliertes" Makro ist, in dem die Links fest drinstehen:

emails carrying links or documents w/ highly obfuscated malicious macros that run a PowerShell script to download the payload from 5 download links

Und zu der Strafbarkeit: Einerseits ist es nur strafbar, weil es entsprechende Gesetze gibt, die man durchaus ändern kann. Andererseits wäre ich mir gar nicht so sicher dass das notwendig ist, denn am Ende sind das entweder vom Täter privat gehostete Server bzw. welche in irgendwelchen "unerreichbaren" Ländern, die ja sonst damit werben, dass sie keine irdische Gerichtsbarkeit, außer der eigenen, tangiert. Und selbst wenn diese fünf Systeme unschuldigen gehören: Solche Viren können Milliardenschäden verursachen, die Verhältnismäßigkeit gebietet mmn., dass diese zum Wohle aller auch eine Weile ohne Internet auskommen könnten.