„Seit rund einer Woche wird Emotet wieder massenhaft versandt“ und tausende sind akut betroffen. Neuerdings sind auch Privatanwender im Visier.

Mehrere tausend E-Mail-Konten von Unternehmen und Bürgern, die durch eine Infektion mit Emotet kompromittiert wurden, habe es bei den zuständigen Providern gemeldet. Neu ist, dass Emotet derzeit auch Schadsoftware zum Online-Banking-Betrug nachlädt.

In den vergangenen Monaten war es etwas ruhiger um Emotet geworden; doch jetzt ist die Sommerpause offenbar vorbei und die Betrüger arbeiten wieder mit Hochdruck. Das läuft dann nach dem bekannten Schema ab: Die Opfer erhalten eine E-Mail, die sich als Antwort auf eine früher tatsächlich verschickte Mail ausgibt. So kommt die Mail scheinbar von einem bekannten Absender, mit dem man tatsächlich in Kontakt steht. Die dafür benötigten Daten stammen aus früheren Emotet-Infektionen. Beim Öffnen der angehängten Datei erscheint eine Meldung, die zum Aktivieren des Inhalts („Enable Content“) auffordert, was dann die Infektion auslöst. Einmal im Netz breitet sich Emotet über verschiedene Mechanismen weiter aus.

Die Kriminellen hinter Emotet verdienen ihr Geld damit, dass sie infizierte Systeme an andere weiterverkaufen, deren Schad-Software dann nachgeladen wird. Für Deutschland hatte bisher die Trickbot-Bande anscheinend einen Exklusiv-Deal. So kam im Gefolge einer Emotet-Infektion zumeist der Trickbot-Schädling und dann der Verschlüsselungs-Trojaner Ryuk auf die Firmenrechner. Die legt dann auf Kommando ganze Firmen lahm und präsentiert Lösegeldforderungen nicht selten im sechsstelligen Bereich.

Seit etwa einer Woche wird auch in Deutschland vermehrt ein Schad-Programm zum Online-Banking-Betrug nachgeladen. Das setzt offenbar einen Trick ein, der bereits früher von Zeus erfolgreich genutzt wurde: Beim Aufruf der Online-Banking-Seiten blendet der Trojaner einen Dialog ein, dass man Handy-Nummer und -Typ angeben müsse, um eine zusätzliche Sicherheits-App zu installieren. Kurze Zeit später wird ein Link zu dessen Installation an das Handy geschickt. Nach der Installation leitet diese mTANs an die Betrüger weiter.

Das BSI rät dringend, Schutzmaßnahmenvor einem Befall mit Emotet zu ergreifen und präsentiert diese auf einer eigenen Seite.