Wenn Word, Excel, PowerPoint und OneNote zur Gefahr werden!
Emotet ist 2023 zurück, Verbreitung der Malware über OneNote-Anhänge
Emotet ist eine der gefährlichsten Malware-Familien, die seit 2018 Nutzer im Internet bedroht. Emotet ist ein Trojaner, der verschiedene Schadfunktionen aufweist. Er kann weitere Trojaner nachladen, sich tief im Netzwerk einnisten und Hintertüren installieren. Um Opfer zum Ausführen der Malware zu bewegen, nutzen die Drahtzieher dahinter in der Regel gut gemachte betrügerische E-Mails.
Nach einer längeren Pause ist Emotet seit Anfang 2023 wieder aktiv und hat seine Verbreitungsmethode geändert. Statt Microsoft Word oder Excel-Dateien mit bösartigen Makros zu verwenden, die von Microsoft standardmäßig blockiert werden, nutzt Emotet nun Microsoft OneNote-Dateien als E-Mail-Anhänge . Diese Dateien enthalten eine falsche Benachrichtigung, dass das Dokument geschützt sei und fordern den Nutzer auf, auf die Schaltfläche „View“ zu doppeln klicken .
Dadurch wird jedoch ein eingebettetes Skript gestartet, das stark verschleiert ist und eine DLL-Datei aus dem Internet herunterlädt . Diese Datei enthält den Emotet-Schädling und wird mit Hilfe von regsvr32.exe ausgeführt . Sobald die Malware läuft, nimmt sie Kontakt mit ihren Command-and-Control-Servern auf und wartet auf Anweisungen von dort. In vielen Fällen wird auch Cobalt Strike oder andere Malware installiert, die den Hackern einen unbefugten Zugriff auf das Gerät ermöglichen und es als Sprungbrett für weitere Infektionen im Netzwerk nutzen.
Wie kann man sich vor OneNote-Anhängen schützen?
Emotet ist nicht die einzige Malware-Kampagne, die OneNote-Dateien verwendet. Bis Microsoft einen speziellen Anti-Phishing-Schutz hinzufügt, werden Windows-Administratoren dringend empfohlen, Gruppenrichtlinien zu konfigurieren, um entweder:
- alle eingebetteten Dateien in Microsoft OneNote zu blockieren oder
- bestimmte Dateierweiterungen anzugeben, die vom Ausführen ausgeschlossen werden sollen.
Außerdem sollten Nutzer immer vorsichtig sein, wenn sie E-Mails mit Anhängen erhalten und diese nicht öffnen oder ausführen, wenn sie nicht sicher sind. Eine gute Antivirensoftware kann auch helfen, verdächtige Dateien zu erkennen und zu entfernen.
Emotet ist eine ernsthafte Bedrohung für die Cybersicherheit und sollte nicht unterschätzt werden. Durch den Wechsel zu OneNote-Anhängen versuchen die Angreifer hinter Emotet ihre Erfolgsrate zu erhöhen und mehr Opfer zu infizieren. Es liegt an uns allen, wachsam zu bleiben und uns vor dieser raffinierten Malware zu schützen.