Emotet/Trickbot – Ein Fallbeispiel für Bedrohungen 13. Mai 2022 | 10:00 Uhr - 11:00 Uhr

Die allgegenwärtige Bedrohung durch Spam/Phishing-Mails bekommt eine neue Dimension. „Emotet“ kombiniert die Methode der Spamverteilung „Spear-Phishing mit Methoden des Social Engineering“ mit gefährlicher Schadsoftware (Advanced Persistent Threats APT). Mittlerweile – nach “Abschalten” von Emotet – tritt “Quakbot” verstärkt auf. Die Bedrohung ist ähnlich gefährlich und auch technisch verwandt.

Nach der Infektion eines Zielsystems ist Emotet in der Lage, das Outlook-Addressbuchs des Opfers auszulesen und sich selbst per Spear-Phishing weiter zu verbreiten. Neuerdings liest es auch die E-Mails des Opfers (Outlook-Harvesting) und nutzt die Inhalte, um authentisch aussehende Spear-Phishing-Mails zu erzeugen (Social Engineering). Dann verschickt es im Namen des Opfers über dessen echte E-Mail-Adresse sich selbst an die gespeicherten Kontakte.

Darüber hinaus ist Emotet in der Lage, weitere Schadsoftware je nach Bedarf und Absicht des Angreifers nachzuladen und sich dadurch dauernd zu verändern. Beobachtet wurden bisher insbesondere, aber nicht nur, die Banking-Trojaner „Trickbot“ sowie „Quakbot“. Diese können sich selbstständig von einem infizierten Rechner als Wurm im befallenen Netzwerk weiter ausbreiten, auch ohne den weiteren Versand von Spam-Mails.

Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor.

Ein einzelner infizierter Rechner kann somit das komplette Netzwerk einer Organisation infizieren und lahm legen. Es sind bereits mehrere solcher Vorfälle öffentlich bekannt geworden, beispielsweise die Universität Gießen. Gefährdet sich besonders Umgebungen, die zentralisierte Windows-Systeme einsetzen.

Referent*in

Dr. Christian Böttger, TU Braunschweig

Zur Website der Veranstaltung →
Veranstaltung im Kalender speichern →