Schadsoftware EMOTED wieder aktiv – Passen sie auf bei verdächtigen Mails

image_pdfimage_print

Über einen längeren Zeitraum war es still um Emotet geworden, jetzt wird die Schadsoftware wieder verbreitet und zwar über Office-Dokumente mit Makros.

Die Mails haben unterschiedliche Betreffzeilen (bspw. „Muster – DSTG“) und unterschiedlichen Aufbau.

Die verwendeten Texte sind kurz gehalten und verweisen auf den beigefügten Anhang.

Teilweise blenden die Mails einen angeblichen Text ein, auf den geantwortet wurde.

 

Die Mails stammen dabei nicht von dem angeblichen Absender, der Deutschen Steuer-Gewerkschaft – Landesverband Niedersachsen, sondern geben dies nur vor.

Wenn der Anhang geöffnet wird, erscheint die folgende Grafik, um den Benutzer zum Ausführen von Makros zu bewegen:

ollte der Nutzer nun Makros aktivieren, wird die eigentliche Schadsoftware nachgeladen und zur Ausführung gebracht:

In unserem Beispiel erfolgte das Nachladen über die folgende URL:
hXXp://electroXXXenchufe.com/wp-content/13c3yqv_eo4zsu9-416/

D.h. ein kompromittiertes System wird hier für die Verteilung verwendet.


Ist die Schadsoftware aktiv, verbindet Sie sich gut erkennbar im Netzwerkverkehr mit einem C&C-Server:

Der hier verwendete C&C-Server hat die IP-Adresse: 190.18.146.70

Weitere bekannte C&C-Server bzw. URL:
http://31.12.67.62:7080/pdf/
http://31.172.240.91:8080/attrib/
http://37.157.194.134:443/acquire/
http://37.208.39.59:7080/taskbar/bml/results/merge/
http://41.220.119.246/between/
http://45.33.49.124:443/iplk/devices/results/merge/
http://45.123.3.54:443/taskbar/cookies/
http://46.105.131.87/psec/badge/results/
http://47.41.213.2:22/stubs/chunk/
http://59.152.93.46:443/mult/
http://62.75.187.192:8080/symbols/walk/results/merge/
http://75.127.14.170:8080/devices/window/results/
http://78.24.219.147:8080/badge/
http://85.104.59.244:20/loadan/
http://86.98.25.30:53/site/codec/
http://87.106.139.101:8080/site/loadan/results/
http://87.106.136.232:8080/cookies/
http://87.230.19.21:8080/report/codec/
http://88.156.97.210/enable/symbols/
http://91.92.191.134:8080/guids/nsip/forced/merge/
http://91.205.215.66:8080/stubs/
http://92.222.125.16:7080/walk/xian/symbols/
http://92.222.216.44:8080/ringin/ban/symbols/
http://94.205.247.10/scripts/sess/results/
http://95.128.43.213:8080/odbc/child/
http://104.131.11.150:8080/symbols/cookies/forced/
http://104.236.246.93:8080/iab/devices/symbols/merge/
http://117.197.124.36:443/enabled/json/
http://136.243.177.26:8080/pdf/cone/
http://138.201.140.110:8080/site/codec/results/merge/
http://142.44.162.209:8080/guids/
http://144.139.247.220/child/devices/
http://149.202.153.252:8080/results/
http://159.65.25.128:8080/balloon/balloon/results/
http://162.243.125.212:8080/report/sess/
http://169.239.182.217:8080/symbols/
http://173.212.203.26:8080/scripts/child/results/merge/
http://175.100.138.82:22/health/schema/results/merge/
http://177.246.193.139:20/entries/odbc/results/
http://178.79.161.166:443/arizona/prep/results/merge/
http://178.254.6.27:7080/forced/glitch/
http://179.32.19.219:22/raster/taskbar/
http://182.76.6.2:8080/sess/usbccid/results/
http://182.176.106.43:995/jit/jit/symbols/
http://182.176.132.213:8090/walk/between/
http://185.94.252.13:443/add/loadan/results/merge/
http://185.129.92.210:7080/nsip/
http://186.4.172.5:443/psec/mult/results/merge/
http://186.4.172.5:8080/usbccid/chunk/results/
http://187.144.189.58:50000/window/scripts/
http://187.147.50.167:8080/taskbar/stubs/forced/
http://188.166.253.46:8080/schema/
http://189.209.217.49/health/
http://190.18.146.70/ringin/devices/symbols/merge/
http://190.145.67.134:8090/badge/tlb/results/
http://190.186.203.55/cone/nsip/
http://190.201.164.223:53/free/
http://201.212.57.109/prov/enabled/
http://201.250.11.236:50000/teapot/badge/forced/merge/
http://206.189.98.125:8080/ban/stubs/
http://211.63.71.72:8080/srvc/raster/symbols/
http://212.71.234.16:8080/stubs/glitch/
http://217.160.182.191:8080/xian/
http://222.214.218.192:8080/codec/report/


Benachrichtigen Sie bitte Ihre Mitarbeiter, dass derartige Mails momentan im Umlauf sind und sensibilisieren Sie für die Gefahren durch angehängte Dokumente.

Weiterführende Links:
Warnhinweis der DSTG auf ihrer Webseite
FAQ zu Emotet von Heise
Virtuelle Maschine mit dem getesteten Malware-Sample bei app.any.run

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:

https://zac-niedersachsen.de/artikel/32

Vielen Dank für diese Warnung an das ZAC des LKA Niedersachsen


Posts Grid

Über 2100 Tage Stau im Reisesommer 2021

ADAC Sommerstaubilanz: Deutlich mehr Staus an den Reisewochenenden als im Vorjahr     München (ots)Die…

Seniorin in Supermarkt von Trickdiebinnen bestohlen: Polizei sucht Zeugen

(ots) Kassel-Wehlheiden: Opfer eines dreisten Trickdiebstahls durch drei bislang unbekannte Täterinnen wurde am gestrigen Mittwochnachmittag…

Windows 11 Autostart-Programme Windows 11 Autostart-Ordner

Überblick : In diesem Beitrag erfahren Sie vor allem, wie Sie Autostart-Programme in Windows 11…

MHK – Einladung zum Großen Dackelspaziergang im Bergpark Wilhelmshöhe

Zur diesjährigen Hunde-Rallye am Samstag, den 18. September 2021 von 14–17 Uhr, durch das UNESCO-Welterbe…

Alica Reuter vermittelt Überblick der Stadtgeschichte

Um die wichtigsten Phasen der Entwicklung Kassels geht es in einer Führung am Mittwoch, 22….

Zug beworfen – Scheibe an Regiotram zerstört

(ots) Wegen Verdachts eines gefährlichen Eingriffs in den Bahnverkehr ermittelt seit gestern die Bundespolizeiinspektion Kassel….

Impfbus auf Flohmärkten, Demokratiefest und beim Freiluftexperiment

Der Impfbus des Impfzentrums Kassel ist am kommenden Wochenende an vier verschiedenen Orten in Kassel…

Wahlkampf: Scholz und die Geldskandale – zu viele Zufälle! – Teil 1

               Wahlkampf: Scholz und die Geldskandale – zu viele Zufälle! – Teil 1  …

Angebote aus Kassel bei den Digitalen Hessischen Selbsthilfetagen

„Reden tut gut“ ist das Motto der Digitalen Hessischen Selbsthilfetage, zu der sich die 23…

Folgemeldung: Ermittler finden vermissten 73-Jährigen

(ots) Kassel:Der seit dem gestrigen Donnerstagnachmittag vermisste 73-jährige Helmar K. ist wieder da. Beamte des…

Flughafengesellschaft Berlin Brandenburg: 1,5 Milliarden Euro für Zins und Tilgung bis 2025

(ots) Bis 2025 muss die Flughafengesellschaft Berlin Brandenburg GmbH (FBB) mindestens 1,5 Milliarden Euro an Zins-…

CBD-Blüten was kann und darf man damit machen

Die CBD-Branche hat sich in den letzten Jahren rasant entwickelt. Es ist ist eine Vielzahl…

Diese Seite verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Mit der weiteren Verwendung stimmst du dem zu. Datenschutzerklärung

%d Bloggern gefällt das: