Über einen längeren Zeitraum war es still um Emotet geworden, jetzt wird die Schadsoftware wieder verbreitet und zwar über Office-Dokumente mit Makros.
Die Mails haben unterschiedliche Betreffzeilen (bspw. “Muster – DSTG”) und unterschiedlichen Aufbau.
Die verwendeten Texte sind kurz gehalten und verweisen auf den beigefügten Anhang.
Teilweise blenden die Mails einen angeblichen Text ein, auf den geantwortet wurde.
Die Mails stammen dabei nicht von dem angeblichen Absender, der Deutschen Steuer-Gewerkschaft – Landesverband Niedersachsen, sondern geben dies nur vor.
Wenn der Anhang geöffnet wird, erscheint die folgende Grafik, um den Benutzer zum Ausführen von Makros zu bewegen:
ollte der Nutzer nun Makros aktivieren, wird die eigentliche Schadsoftware nachgeladen und zur Ausführung gebracht:
In unserem Beispiel erfolgte das Nachladen über die folgende URL:
hXXp://electroXXXenchufe.com/wp-content/13c3yqv_eo4zsu9-416/
D.h. ein kompromittiertes System wird hier für die Verteilung verwendet.
Ist die Schadsoftware aktiv, verbindet Sie sich gut erkennbar im Netzwerkverkehr mit einem C&C-Server:
Der hier verwendete C&C-Server hat die IP-Adresse: 190.18.146.70
Weitere bekannte C&C-Server bzw. URL:
http://31.12.67.62:7080/pdf/
http://31.172.240.91:8080/attrib/
http://37.157.194.134:443/acquire/
http://37.208.39.59:7080/taskbar/bml/results/merge/
http://41.220.119.246/between/
http://45.33.49.124:443/iplk/devices/results/merge/
http://45.123.3.54:443/taskbar/cookies/
http://46.105.131.87/psec/badge/results/
http://47.41.213.2:22/stubs/chunk/
http://59.152.93.46:443/mult/
http://62.75.187.192:8080/symbols/walk/results/merge/
http://75.127.14.170:8080/devices/window/results/
http://78.24.219.147:8080/badge/
http://85.104.59.244:20/loadan/
http://86.98.25.30:53/site/codec/
http://87.106.139.101:8080/site/loadan/results/
http://87.106.136.232:8080/cookies/
http://87.230.19.21:8080/report/codec/
http://88.156.97.210/enable/symbols/
http://91.92.191.134:8080/guids/nsip/forced/merge/
http://91.205.215.66:8080/stubs/
http://92.222.125.16:7080/walk/xian/symbols/
http://92.222.216.44:8080/ringin/ban/symbols/
http://94.205.247.10/scripts/sess/results/
http://95.128.43.213:8080/odbc/child/
http://104.131.11.150:8080/symbols/cookies/forced/
http://104.236.246.93:8080/iab/devices/symbols/merge/
http://117.197.124.36:443/enabled/json/
http://136.243.177.26:8080/pdf/cone/
http://138.201.140.110:8080/site/codec/results/merge/
http://142.44.162.209:8080/guids/
http://144.139.247.220/child/devices/
http://149.202.153.252:8080/results/
http://159.65.25.128:8080/balloon/balloon/results/
http://162.243.125.212:8080/report/sess/
http://169.239.182.217:8080/symbols/
http://173.212.203.26:8080/scripts/child/results/merge/
http://175.100.138.82:22/health/schema/results/merge/
http://177.246.193.139:20/entries/odbc/results/
http://178.79.161.166:443/arizona/prep/results/merge/
http://178.254.6.27:7080/forced/glitch/
http://179.32.19.219:22/raster/taskbar/
http://182.76.6.2:8080/sess/usbccid/results/
http://182.176.106.43:995/jit/jit/symbols/
http://182.176.132.213:8090/walk/between/
http://185.94.252.13:443/add/loadan/results/merge/
http://185.129.92.210:7080/nsip/
http://186.4.172.5:443/psec/mult/results/merge/
http://186.4.172.5:8080/usbccid/chunk/results/
http://187.144.189.58:50000/window/scripts/
http://187.147.50.167:8080/taskbar/stubs/forced/
http://188.166.253.46:8080/schema/
http://189.209.217.49/health/
http://190.18.146.70/ringin/devices/symbols/merge/
http://190.145.67.134:8090/badge/tlb/results/
http://190.186.203.55/cone/nsip/
http://190.201.164.223:53/free/
http://201.212.57.109/prov/enabled/
http://201.250.11.236:50000/teapot/badge/forced/merge/
http://206.189.98.125:8080/ban/stubs/
http://211.63.71.72:8080/srvc/raster/symbols/
http://212.71.234.16:8080/stubs/glitch/
http://217.160.182.191:8080/xian/
http://222.214.218.192:8080/codec/report/
Benachrichtigen Sie bitte Ihre Mitarbeiter, dass derartige Mails momentan im Umlauf sind und sensibilisieren Sie für die Gefahren durch angehängte Dokumente.
Weiterführende Links:
Warnhinweis der DSTG auf ihrer Webseite
FAQ zu Emotet von Heise
Virtuelle Maschine mit dem getesteten Malware-Sample bei app.any.run
Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/32
Vielen Dank für diese Warnung an das ZAC des LKA Niedersachsen
[metaslider id=20815]
+ There are no comments
Add yours