Bereits seit Herbst vorigen Jahres sammelt Emotet auf jedem infizierten System die dort gespeicherten Outlook-Mails ein. Bisher nutzte es die nur, um plausible Absender und Empfänger für weitere Phishing-Mails zu erzeugen. Doch jetzt nutzt es den tatsächlichen Inhalt der gestohlenen Mails, um das noch weiter zu perfektionieren.

Emotet tut alles, um seine Dynamit-Phishing-Mails möglichst echt aussehen zu lassen. (Bild: CERT-Bund)

heise Security und c't warnten bereits 2018, dass weiter perfektionierte Dynamit-Phishing-Aktivtäten zu erwarten sind. Jetzt dokumentiert das CERT-Bund erstmals einen Fall, in dem diese Befürchtungen tatsächlich Realität werden. Eine Dynamit-Phishing-Mail der Emotet-Bande hängt die gestohlenen Mails an, um so eine bereits existierende Kommunikation wieder aufzugreifen. Außerdem bettet es täuschend echt aussehende Links auf die Domain des angeblichen Absenders ein. Ziel des Ganzen ist es nach wie vor, den Empfänger zum Öffnen einer Word-Datei zu verleiten und in dieser das "Bearbeiten" zu aktivieren, was das heimliche Ausführen von Schadcode ermöglicht.

heise Security hat in Dynamit-Phishing mit Emotet: So schützen Sie sich vor der Trojaner-Welle bereits praktische Tipps zum Schutz zusammengestellt, die nach wie vor gültig sind. Die ab Ende April startende heise-Security-Konferenz erklärt den Sicherheitsverantwortlichen von Unternehmen ganz konkret, was im Zug dieser neuen Generation von Cybercrime noch alles auf sie zukommt und wie Sie sich und ihr Unternehmen sinnvoll darauf vorbereiten. Die Eintagesveranstaltung findet in Berlin, Stuttgart, Hamburg, Köln, Stuttgart und Salzburg statt.

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

So funktioniert Dynamit-Phishing

(ju)