Update: Emotet-Malware zerstört sich nach Zeitbomben-Einsatz selbst

Uhr

Der Deinstallationscode, der von den im Januar beschlagnahmten Backend-Servern verteilt wurde, ist seit letzten Sonntag ausgelöscht. Die Windows-Malware Emotet wurde von den europäischen Strafverfolgungsbehörden mithilfe einer angepassten DLL-Zeitbombe automatisch von Computern gelöscht.

(Source: Gwengoat / iStock.com)
(Source: Gwengoat / iStock.com)

Seit letztem Sonntag ist die Emotet-Malware zerstört. Eine speziell gestaltete Zeitbombe leitete zu einer Selbstzerstörung der Software. Der Code wurde Ende Januar über die gerade beschlagnahmte Command-and-Control-Infrastruktur (C2) der Malware in einem multinationalen Polizeieinsatz. an mit Emotet infizierte Computer verteilt, wie The Register berichtet. Am Freitag 23.04.2021 zeigte das Emotet-Portal der Malware-Tracker-Website Abuse.ch, dass keiner der von ihm verfolgten Emotet C2-Server online war. Infosec-Bods stellte anschliessend fest, dass die von der Polizei beschlagnahmten Backend-Systeme ein Software-Update für Emotet zur Verfügung gestellt hatten, die sobald sie automatisch heruntergeladen und installiert wurde, an diesem Wochenende eine Deinstallationsroutine aktivierte.

Das Infosec-Outfit Malware-Bytes bestätigte am Sonntag, dass sich die aktualisierte Emotet-Installation tatsächlich wie erwartet vollständig entfernt hat.

Originalmeldung vom 15.04.2021: Ein neuer Banking-Trojaner macht sich in der Schweiz breit

Im März haben gleich vier Banking-Trojaner die Schweizer IT-Landschaft besonders stark heimgesucht. Allen voran IcedID. Ein Neuling auf Check Points "Most Wanted Malware"-Liste. Nächsten Monat könnte aber schon ein anderer Schädling die Liste anführen: die aktuelle Nummer 2.

Vergangenen März hat sich ein neues Schadprogramm an die Spitze von Check Points "Most Wanted Malware"-Liste gedrängt. In der Schweiz wird die monatlich erfasste Liste neu von IcedID angeführt. Hierzulande waren 8,27 Prozent der Unternehmen von diesem Banking-Trojaner betroffen.

Global war das Schadprogramm sogar noch aktiver: Den weltweiten Impact beziffert der israelische Cybersecurity-Anbieter mit 11,18 Prozent. Trotzdem reichte es nicht, um auch weltweit die Spitze zu erklimmen. Ein weiterer Banking-Trojaner, Dridex, führt die globale Liste mit 16,4 Prozent an.

IcedID ist laut Mitteilung seit September 2017 aktiv. Der Trojaner versucht, auf infizierten Geräten etwa Kontoinformationen und Zahlungsdetails seiner Opfer zu stehlen. Dazu nutzt er Web-Injection- und auch Redirection-Attacken mittels lokalen Proxys, um die Opfer auf gefälschte Websites umzulenken. Zudem kann der Schädling auch weitere Malware auf einen infizierten Rechner laden – darunter etwa die Ransomware-Programme RansomExx, Maze, und Egregor.

QBot dann IcedID dann QBot

Der steile Aufstieg von IcedID ist auch Corona-bedingt. Der Trojaner verbreitet sich via Spam-Kampagnen. Eine besonders breit angelegte Kampagne habe sich die Unsicherheit und Furcht rund um Covid-19 zunutze gemacht, um neue Opfer zu finden.

Dem Aufstieg könnte nun aber der Fall folgen. IcedID und QBot tauschen sich nämlich ab. Qbot ist die in der Schweiz am zweithäufigsten verbreitete Malware und ebenfalls ein Banking-Trojaner.

Anfang des Jahres beobachteten Sicherheitsexperten verschiedener Firmen eine Spam-Kampagne, die den Qbot-Trojaner verbreitete. Kurz darauf wurde die Nutzlast allerdings ausgetauscht, wie "Bleeping Computer" berichtet.

Im Februar verbreiteten die URLs, die zuvor noch QBOT ausgespuckt hatten, neu IcedID. Nach etwa 6 Wochen wechselten die Cyberkriminellen allerdings wieder zurück zu QBot.

Dies deute auf ein ziemlich grosses Update von QBot hin, zitiert "Bleeping Computer" den Malware-Analysten James Quinn. Dieses Update könnte etwa veränderte Entschlüsselungsalgorithmen für die interne Konfiguration bringen.

Check Points vollständige "Most Wanted Malware"-Liste für die Schweiz im März

  1. IcedID (Banking-Trojaner): 8,27 Prozent der Schweizer und 11,8 Prozent der globalen Firmen betroffen.

  2. QBot (Banking-Trojaner): 4,13 Prozent der Schweizer und 6,53 Prozent der globalen Firmen betroffen.

  3. Dridex (Banking-Trojaner): 4,13 Prozent der Schweizer und 16,4 Prozent der globalen Firmen betroffen.

  4. Trickbot (Botnet und Banking-Trojaner): 2,38 Prozent der Schweizer und 4,04 Prozent der globalen Firmen betroffen.

  5. Lokibot (Infostealer): 2,07 Prozent der Schweizer und 9,39 Prozent der globalen Firmen betroffen.

  6. Agenttesla (RAT): 2,07 Prozent der Schweizer und 6,83 Prozent der globalen Firmen betroffen.

  7. Formbook (Infostealer): 1,59 Prozent der Schweizer und 2,95 Prozent der globalen Firmen betroffen.

  8. Dameware (Remote Monitoring): 1,43 Prozent der Schweizer und 0,04 Prozent der globalen Firmen betroffen.

  9. XMRig (Cryptominer): 1,27 Prozent der Schweizer und 3,28 Prozent der globalen Firmen betroffen.

  10. Blindingcan (RAT): 1,11 Prozent der Schweizer und 0,38 Prozent der globalen Firmen betroffen.

  11. Neshta (Trojaner): 1,11 Prozent der Schweizer und 1,36 Prozent der globalen Firmen betroffen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_213771

Kommentare

« Mehr