Cyber-Kriminalität
Mehrschichtige Betriebsmechanismen von Emotet
In nur fünf Jahren schaffte es die Schadsoftware Emotet, sich zu einer der berüchtigtsten Cyberbedrohungen zu entwickeln. Nun stehen die mehrschichtigen Betriebsmechanismen, die zu den bemerkenswertesten Features der Malware gehören, im Vordergrund.
Save to Folio
Originalbeitrag von Trend Micro
In nur fünf Jahren schaffte es die Schadsoftware Emotet, sich zu einer der berüchtigtsten Cyberbedrohungen zu entwickeln – eine, deren Angriffe Kosten von bis zu 1 Mio. $ für die Wiederherstellung verursachen, so das US-CERT. Kürzlich berichtete Trend Micro bereits über die Aktivitäten sowie die zwei Infrastrukturkonfigurationen von Emotet. Nun stehen die mehrschichtigen Betriebsmechanismen, die zu den bemerkenswertesten Features der Malware gehören, im Vordergrund.
Die Aktivitäten der Artefakte von Emotet – ihre Dokument-Dropper und gepackten ausführbaren Samples – zeigten Diskrepanzen hinsichtlich des Zeitpunkts, an dem ein jedes Anzeichen von Aktivität zeigte. Die Sicherheitsforscher stellten fest, dass sich die Infrastruktur für das Erstellen und Verbreiten von Dokument-Droppern von der für das Packen und Inbetriebnehmen der Executables unterscheidet.
Die Forscher beobachteten, wann die Autoren die Dropper erstellten und nutzten, sodass sich ein Zeitmuster ergab, und das zeigte unter anderem, dass die Dropper sich einen oder zwei Tage pro Woche freinahmen:
Weitere Erkenntnisse über die Aktivitäten der Malware-Betreiber und der Betriebsmodelle, Infektionsketten und den Verbindungen zu russisch sprechenden Akteuren finden Interessierte im Originalbeitrag und im Whitepaper „Exploring Emotet’s Activities“.