Neue Variante des Emotet Banking Trojaners verbreitet sich in Netzwerken

Server 2003 / 2008 / 2012 Sicherheit Windows 10 Windows 7 Windows 8 Windows XP

Seit Juli 2017 verbreitet sich in vielen Netzwerken eine neue Variante des bereits bekannten Emotet Banking Trojaners. Die letzte Mutation des Trojaners verbreitet sich ähnlich schnell wie ein Wurm in den Netzwerken der Unternehmen. Inspiriert wurden die Macher des aktuellen Emotet laut einem Blog Post auf Fidelis Cypersecurity durch WANNACRY und NOTPETYA. Eine Erkennung der bekannten Virenengines war zu Beginn der Infektion sehr spärlich und so konnte sich Emotet auf sehr vielen Clients einnisten. Die Frage wie sich der Wurm im Netzwerk verbreitet kann im Moment noch nicht sicher beantwortet werden. Hier verwendet der Wurm vermutlich die Administrative Freigabe IPC$.

Laut Fidelis verbreitet sich der Schädlung über ein selbst-entpackendes RAR Archiv welches 2 Dateien beinhaltet. Eine Datei davon versucht Netzwerkresourcen zu nutzen um eine passende Netzwerkfreigabe zu finden. Ist eine passende Freigabe gefunden, dann wird die Dienst-Komponente geschrieben und ein Dienst wird auf dem jetzt infizierten System erstellt.

Die neue Variante des Emotet missbraucht die infizierten Computer zum Versenden von Spam Mails. Einer der Emotet Dienste ist dazu da um Informationen des Outlooks Accounts zu stehlen in dem er die PST / OST Datei ausliest. In der PST Datei befinden sich Informationen zu den gespeicherten Mails, Kontakte, Kalender Infos und vieles mehr. Gesammelt werden Name und E-Mail Adresse jeder ungelesenen E-Mail. Die gestohlenen Informationen werden in eine temproräre Datei geschrieben und an den Command und Control Server (C&C) geschickt. Dieser steuert den Versand der Mails per SMTP über ebenfalls „gehackte“ Mailserver. In dieser Mail befindet sich wiederum ein Link zu einer Word-Datei um den Empfänger ebenfalls zu infizieren. Dazu aber etwas weiter unten mehr….

E-Mail Beispiele

Die Daten werden nicht nur aus Microsoft Outlook ausgelesen, sondern auch aus vielen anderen Accounts.

  • Google accounts
  • Office Outlook
  • FTP accounts saved in IE
  • MSN Messenger
  • Google Talk
  • IncrediMail
  • Group Mail
  • Mozilla Thunderbird

 

Betroffene Systeme: Windows Server 2003 – Windows Server 2016 / Windows XP – Windows 10

 

Wie kommt es zu einer Infektion?

 

 

 

Neben einem Makro befindet sich nur ein Screenshot in der DOC

 

Ausschnitt des Makros

 

Analyseergebnis des Word-Dokumentes auf reverse.it

 

 

 

Die Infektion

Bei einer Infektion werden bis zu mehreren 100 Diensten erstellt.

 

Die Exe Dateien für die Dienste werden unter C:\Windows abgelegt

Zusätzlich befindet sich unter C:\Windows\system32 oder C:\Windows\SysWOW64 eine weitere Datei, welche die Dienste immer wieder neu erstellt.

 

Hier die beispielhaften Ergebnisse einer EXE aus SysWOW64 (shedulelogon.exe)

Virustotal | Malwr | Reverse.it

 

 

HTTP/S Traffic

Die nachfolgenden Screenshots zeigen den Netzwerk Traffic von Emotet (Die Screenshots stammen von dieser Quelle)

 

Betroffene Domains

Links

  • anduron.com – GET /XXGX911533/
  • approxim.com – GET /RHKA318298/
  • beckiyore.com – GET /ECPT315356/
  • bluedevils.be – GET /joomla/language/MZQO136516/
  • bildnah.de – GET /PVXM989517/
  • boscoandzoe.com – GET /ICHY890603/
  • bradnance.com – GET /ZRXE577815/
  • bravasav.net – GET /ENOD612941/
  • cohenbenefits.com – GET /office/custom/SIPQ546465/
  • cpkapability.com – GET /UKSV614228/
  • danielmerchen.com – GET /TZEX247131/
  • denbar.com.au – GET /UOOP149434/
  • driften.org – GET /MCGF919307/
  • euphorianet.com – GET /YQCB092598/
  • event-weekend.ch – GET /ICOT371647/
  • falconbilgisayar.com – GET /RIOC718921/
  • flexlogic.nl – GET /QBUP530634
  • ftpgmbh.ch – GET /VYXG951483
  • getoutofthecube.com – GET /JZST874751/
  • goldencoyote.com – GET /ALLS580885/
  • grigolla.net – GET /DIPV031830/
  • hcsnet.com.br – GET /FDED220303/
  • hobbycoinexchange.com – GET /ssfm/ESIF185658/
  • homexxl.de – GET /images/articles/EYQD907375/
  • huiwei19.com – GET /YJPW400437/
  • intedyn.com – GET /PZFY613518/
  • invitatii.kids-mania.com – GET /CPJV799737/
  • interwatts.com – GET /jcgestio/report/XIND162748/
  • katemadison.com – GET /PTXJ411100/
  • kovalantie.fi – GET /XOON622261/
  • lincolngroup.biz – GET /BCCC068652/
  • livablecity.org – GET /DFKR972152/
  • mariamartinezportfolio.com – GET /XLJF149270/
  • merz.com.ar – GET /POXE116744/
  • molodin.org – GET /YFUF766014
  • phvfd221.org – GET /CVQP360485/
  • pkfans.com – GET /KCOK937437/
  • pieterdijkstra.nl – GET /MULR523923/
  • procebe.com – GET /MPKL050560/
  • prodevinc.com – GET /RPJI648495/
  • rehaunion.de – GET /GDOG943694/
  • rekonaudio.com – GET /TGVY210050/
  • sentraweddingcar.com – GET /DFKC861710/
  • succssatlas.com – GET /NHMH464376/
  • tchypnotherapy.co.uk – GET /VSHM064019/

 

Andere Quelle mit teilweise den selben Domains (https://pastebin.com/Eje8q28p)

 

Download der Emotet Binaries per Macro

  • ais-fo.fr – GET /kukajweln/
  • blushphotoandfilm.com – GET /ckgawd/
  • bugbbq.com – GET /awhwgra/
  • dzynr.com – GET /ev/
  • netoip.com – GET /rwibpm/

 

HTTP Infection Traffic:

  • 74.208.17.10 port 8080 – 74.208.17.10:8080 – POST /
  • 158.69.199.223 port 8080 – 158.69.199.223:8080 – POST /
  • 178.62.175.211 port 443 – 178.62.175.211:443 – POST /
  • 192.81.212.79

 

HTTP Infection Traffic – Timeout

  • 93.180.157.92 port 443
  • 164.132.50.32 port 8080
  • 173.212.192.45 port 8080
  • 178.79.132.214 port 443
  • 192.81.212.79 port 443

 

 

Informationsquellen

https://isc.sans.edu/forums/diary/Malspam+pushing+Emotet+malware/22650

https://www.scmagazine.com/new-variant-of-emotet-banking-trojan-spreads-internally-like-worm/article/676622/

https://www.fidelissecurity.com/threatgeek/2017/07/emotet-takes-wing-spreader

https://pastebin.com/Eje8q28p

 


Weitere Artikel




Hi, ich bin Tobias - Gründer und seit 2009 begeisterter IT-Blogger auf tobias-hartmann.net! Mit Begeisterung versuche ich euch bei alltäglichen IT Problemen zu unterstützen, schreibe Anleitungen zu diversen IT-Themen und berichte euch über Smartphones & Tablets aus China.