Angreifer nutzen Microsoft OneNote-Anhänge zur Verbreitung von Emotet-Malware

Die Aktion zielt darauf ab, makrobasierte Sicherheitsmaßnahmen zu umgehen. Windows-Administratoren wird empfohlen, eine Gruppenrichtlinie zu konfigurieren, um das Risiko zu minimieren

Die berüchtigte Emotet-Malware, die vor kurzem nach einer kurzen Ruhephase wieder aufgetaucht ist, wird jetzt über E-Mail-Anhänge in Microsoft OneNote verbreitet, um makrobasierte Sicherheitsmaßnahmen zu umgehen und mehr Systeme zu infiltrieren.

Emotet ist ein hochentwickelter Malware-Typ, der darauf ausgelegt ist, sensible Informationen und Benutzeranmeldeinformationen von infizierten Systemen zu erbeuten.

Ursprünglich wurde er 2014 als Banking-Trojaner entdeckt und verbreitete sich vor allem über schadhafte E-Mails.

Seitdem hat sich Emotet jedoch stark verändert und existiert nun als eine völlig neue Form von Malware mit einem eigenen Botnet. Dadurch kann er aus der Ferne bösartige Software auf den Zielgeräten installieren.

Emotet-Infektionen basieren in der Regel auf E-Mails, die gefälschte Rechnungen, Zahlungsberichte, Versanddaten, Stellenangebote oder andere Dokumente enthalten, die für den Empfänger von Bedeutung sein könnten.

Diese E-Mails enthalten Word- oder Excel-Dateien, die Makros beinhalten, die vom Benutzer aktiviert werden müssen, bevor er auf den Inhalt des Dokuments zugreifen kann.

Die Betreiber von Emotet wenden eine Reihe von Taktiken an, um die Benutzer zur Aktivierung dieser Makros zu verleiten, einschließlich Dokumentvorlagen, die vorgeben, auf unterschiedlichen Plattformen erstellt worden zu sein.

Fällt ein Benutzer auf die Masche herein und aktiviert die Makros, wird eine DLL-Datei heruntergeladen und ausgeführt, was zur Installation der Emotet-Malware auf dem Gerät führt.

Letztes Jahr hat Microsoft die Makros in heruntergeladenen Dokumenten automatisch blockiert, was die Cyberkriminellen veranlasste, ihre Strategien zur Verbreitung von Malware zu überdenken.

Infolgedessen sind verschiedene Cyberkriminelle dazu übergegangen, Microsoft OneNote-Dokumente zu verwenden, um ihre Schadsoftware zu verbreiten. Auch Emotet hat sich diesen Ansatz zu eigen gemacht.

Letzte Woche meldete der Sicherheitsforscher "abel" eine Spam-Kampagne, bei der bösartige Microsoft OneNote-Anhänge zur Verbreitung der Emotet-Malware verwendet wurden. In dieser Kampagne verbargen die Angreifer eine bösartige VBScript-Datei mit der Bezeichnung "click.wsf" unter der Schaltfläche "Ansicht".

Die Datei click.wsf enthält ein stark verschleiertes Skript, das den Download einer DLL von einer Remote-Webseite initiiert, die wahrscheinlich kompromittiert wurde. Nach dem Herunterladen wird die DLL ausgeführt, wodurch die Emotet-Malware in das Zielsystem eindringen kann.

Obwohl Microsoft OneNote eine Warnmeldung ausgibt, wenn ein Benutzer versucht, eine eingebettete Datei innerhalb eines OneNote-Dokuments zu starten, ignorieren viele Benutzer die Warnung, indem sie auf die Schaltfläche "OK" klicken.

Die OneNote-Datei ist einfach, aber dennoch effektiv, um Benutzer mit einer gefälschten Benachrichtigung, die angibt, dass das Dokument geschützt ist, zu manipulieren.

Wenn sie aufgefordert werden, auf die Schaltfläche "Ansicht" zu doppelklicken, doppelklicken die Opfer stattdessen versehentlich auf eine eingebettete Skriptdatei. Sollte ein Benutzer auf die Schaltfläche "OK" klicken, wird die eingebettete VBScript-Datei click.wsf mit WScript.exe aus dem Temp-Ordner von OneNote ausgeführt.

Das Skript lädt dann die Emotet-Malware als DLL herunter und speichert sie im gleichen Temp-Ordner. Anschließend führt es die zufällig benannte DLL-Datei mithilfe von regsvr32.exe aus, wodurch die Malware auf dem angegriffenen System aktiv werden kann. Danach stellt die Malware eine Kommunikation mit den Command and Control Servern her, um weitere Befehle zu erhalten.

Microsoft hat die Bedrohung durch Phishing-Dokumente erkannt und zugesagt, die Sicherheitsmaßnahmen von OneNote zu verbessern, um derartige Risiken zu verringern. Es wurde jedoch kein konkreter Zeitrahmen bekannt gegeben, wann diese verbesserten Schutzmaßnahmen allen Benutzern zur Verfügung stehen werden.

In Ermangelung zusätzlicher Schutzmaßnahmen von Microsoft wird Windows-Administratoren empfohlen, eine Gruppenrichtlinie zu konfigurieren, die es ihnen ermöglicht, eingebettete Dateien in Microsoft OneNote vollständig zu deaktivieren oder bestimmte Dateierweiterungen anzugeben, deren Ausführung verhindert werden soll.

Dies kann dazu beitragen, die mit Emotet und anderen Arten von Malware, die über OneNote-Anhänge verbreitet werden, verbundenen Risiken zu mindern.