Kaspersky: Banktrojaner Emotet noch im deutschsprachigen Raum aktiv

CyberkriminalitätSicherheit
Kaspersky Phishing (Bild: Kaspersky Lab)

Cyberkriminelle haben den Schädling so hochautomatisiert, dass er Zwei-Faktor-Authentifizierung aushebeln kann. Es fallen noch immer Nutzer auf geschicktes Social Engineering herein und geben Zugriffsdaten heraus. Perfekte Fälschungen von Banken-Mails, DHL-Lieferscheinen oder T-Online-Rechnungen locken.

Kaspersky Lab warnt vor neuen Wellen des Banking-Trojaners Emotet. Wieder einmal versenden die Macher des Digitalfieslings gefälschte Mails gezielt an Online-Banking-Nutzer in Deutschland, Österreich und der Schweiz. Sogar für die vermeintlich sicheren Chip-TAN- und SMS-TAN-Eingaben führen die Cyberkriminellen die User auf perfekt gestaltete Phishing-Varianten der eigentlichen Sicherheitsüberprüfungen.

DHL-Fäelschung (Bild: Kaspersky Labs)
Mit perfekten Fälschungen von DHL-Lieferscheinen lockt Banking-Trojaner Emotet 3 auf infizierte Seiten.(Bild: Kaspersky Lab)

“Die abgefischten TAN-Nummern werden anschließend von den Cyberkriminellen für eine betrügerische Überweisung missbraucht”, bereitet Kaspersky Anwender auf möglicherweise verschwindende Geldsummen vor.

Der Schädling ist bereits in seiner Version 3 unterwegs, die Täuschungen des Nutzers werden derzeit vor allem über gefälschte DHL-Mitteilungen hervorgerufen.

Emotet ist modular aufgebaut. Zentraler Baustein ist ein sehr gut getarnter Loader, der sich in ein System einnistet und Kontakt zum Kontroll-Server (Command &Control-Server) hält. Wird der Loader auf einer virtuellen Maschine gestartet – was oft ein Zeichen dafür ist, dass ein Analyst dem Schädling auf der Spur ist –, versendet er seine Kommandos an falsche IP-Adressen, die nicht mit dem eigentlichen Kontroll-Server verbunden sind. Ein Analyst könnte durch die ausbleibenden Antworten der Server von einer kalten Fährte ausgehen.

Geldverlust nach Datenklau (Bild: Kaspersky Lab)
Die meisten Opfer von social Engineering in Europa kommen aus Deutschland. (Bild: Kaspersky Lab)

Das so genannte Banker-Modul zur Modifizierung von HTTP(S)-Verkehr ermöglicht die Manipulation des Daten-Streams, also der Testüberweisungsanzeige im Browser. Das böswillige Banker-Modul wird nur dann aktiv, wenn die Anfrage mit der echten Seite einer Bank verbunden wird, deren Inhalt von Emotet durch lokal injizierten Code verändert wird.

Die meisten Opfer des Finanzdatendiebstahls in Europa, nicht nur durch Emotet, sind Deutsche, gefolgt von Franzosen auf dem zweiten Platz und auf den nachfolgenden Rängen von Türken, Italienern und Briten. Dies hat Kaspersky in seinem Cyberpsychologie-Report veröffentlicht.

In diesem Zusammenhang verweist das russische Unternehmen natürlich auf seine Lösung Total Security – Multi-Device, die vor derartigen Betrügereien schützen soll.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen