Emotet: Trojaner beantwortet empfangene E-Mails und klaut Anhänge

Stand:
Der Trojaner kommt mit Spam-Mails oder in Nachrichten von Bekannten auf die Rechner seiner Opfer. Von dort verteilt er sich fast unbemerkt alleine weiter. Emotet arbeitet mit perfiden Tricks.
Totenkopf in Softwarecode-Zeilen

Das Wichtigste in Kürze:

  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Trojaner Emotet.
  • Das Schadprogramm nistet sich auf den Rechnern seiner Opfer ein, lädt unbemerkt weitere Schadsoftware und verteilt sich selbst an gespeicherte Kontakte.
  • Dazu lässt es seine E-Mails so aussehen, als seien es Antworten auf früher verschickte Nachrichten.
On

"Weltweit eine der größten Bedrohungen"

Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Emotet "eine der größten Bedrohungen durch Schadsoftware weltweit". Der Trojaner infiziert Firmen- und Privatrechner und hat bereits zu Schäden in Millionenhöhe geführt. Mitte Dezember 2019 hat das BSI vor Spam-Mails gewarnt, die augenscheinlich von Bundesbehörden stammten und Emotet enthielten. Obwohl das BSI im Februar 2021 meldete, dass die weltweite Emotet-Infrastruktur zerschlagen werden konnte, ist der Schädling weiterhin aktiv. So griff das BSI im März 2023 eine Warnmeldung auf, nach deren Aussage sich die schädliche Software als OneNote-Anhang verteile.

Was macht den Schädling so gefährlich? Emotet wird von Kriminellen vor allem über groß angelegte Spam-Kampagnen verteilt. Oft sind es Mails mit angeblichen Rechnungen im Anhang. Hierbei gilt generell der Grundsatz: Öffnen Sie keine Anhänge von unbekannten Absendern! Fragen Sie im Zweifel telefonisch nach, ob Ihnen tatsächlich Dateien per E-Mail geschickt wurden. Doch Achtung: Emotet kann auch echte Anhänge aus einer E-Mail-Korrespondenz klauen und versenden. Das lässt die schädliche Nachricht noch glaubwürdiger erscheinen.

Emotet liest Mails im Posteingang und antwortet darauf, ohne dass man es mitbekommt.

Denn besonders tückisch ist es, wenn der Absender der E-Mail offenbar jemand ist, dem Sie kürzlich geschrieben haben. Emotet sammelt vorhandene E-Mail-Adressen und verschickt sich selbst als Anhang oder Link in neuen Nachrichten. Dazu ist die Schad-Software in verschiedenen E-Mail-Programmen in der Lage. Im E-Mail-Programm Outlook kann Emotet sogar noch mehr: E-Mail-Inhalte auslesen und für seine selbst verschickten neuen E-Mails nutzen. Die Methode wird "Outlook-Harvesting" ("Outlook-Ernte") genannt. Die E-Mails, die Emotet verschickt, können dadurch aussehen wie eine Antwort auf eine E-Mail, die Sie selbst kürzlich an die betroffene Person geschickt haben.

Ganz auf E-Mail-Programme zu verzichten und stattdessen zum Beispiel die Web-Oberfläche eines E-Mail-Anbieters zu verwenden, bietet nicht automatisch höheren Schutz. Denn auch darüber können Viren, Trojaner und andere Schadprogramme einen Computer infizieren.

Beispiel einer E-Mail von Emotet

Das Computer-Notfallteam des BSI zeigt ein Beispiel, wie eine E-Mail von Emotet beim Empfänger aussehen kann. Da haben Bertram Müller und Antje Meier wegen eines Fahrzeugstellplatzes hin und her gemailt (roter Kasten unten). Emotet nimmt diesen Mail-Wechsel als Grundlage und setzt einen eigenen Text darüber, der wie eine neue Antwort von Antje Meier an Bertram Müller wirkt.

In seinen Text fügt der Computervirus einen Link ein. Doch der muss nicht zu der Adresse führen, die lesbar ist (also im Beispiel musterfirma.de...). Wenn Sie den Mauszeiger auf den Link halten (ohne ihn anzuklicken!) zeigt Ihnen das E-Mail-Programm, dass der Klick auf eine ganz andere Adresse führt (nämlich hier im Beispiel auf super-plus.pl...).

Screenshot einer Emotet-Mail
Bild: CERT-Bund/BSI

Als Empfänger so einer E-Mail sollten Sie also auf zwei Dinge achten:

  • Stimmt die Sprache? In diesem Fall ist das Deutsch fast fehlerfrei. Aber Empfänger Bertram Müller dürfte sich fragen, warum ihn Antje Meier plötzlich duzt.
  • Stimmt der angezeigte Link? Wenn Sie den Mauszeiger auf den Link halten und nicht drauf klicken, zeigt Ihnen Ihr E-Mail-Programm an, welche Internet-Adresse sich tatsächlich dahinter verbirgt. Erscheint eine andere als die lesbare, dürfte etwas faul sein!

Weil die von Emotet gesendeten E-Mails nicht im Postausgang oder Gesendet-Ordner zu finden sind, bekommen betroffene Computernutzer zunächst nichts vom Schädling mit. Ebenso unbemerkt bleiben oft weitere Trojaner und Schadprogramme, die Emotet eigenständig auf infizierte Rechner lädt. Die können dann zum Beispiel Zugangsdaten auslesen, Dateien verschlüsseln oder Angreifern den vollen Zugriff auf den infizierten Rechner ermöglichen. Weil die Programmierer ihre Schadprogramme ständig verändern, können sie auch von Virenschutzprogrammen erst mal unentdeckt bleiben und tiefgreifende Änderungen an infizierten Systemen vornehmen. "Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben", warnt das CERT-Bund. Es bleibe nur der Weg, sämtliche Daten auf dem PC zu löschen und das System neu aufzusetzen. Dann ist es gut, wenn man ein sauberes Backup hat.

So können Sie sich schützen

  • Prüfen Sie auch E-Mails von Ihnen bekannten Absendern kritisch. Stimmt die Sprache? Ist das Anliegen realistisch? Bevor Sie Links oder Anhänge öffnen: Fragen Sie im Zweifel in einer neuen E-Mail (nicht als Antwort auf die empfangene!) beim vermeintlichen Absender nach, ob er Ihnen tatsächlich etwas geschickt hat.
  • Halten Sie Betriebssystem, Virenschutzprogramm und Ihre anderen Programme immer aktuell. Neu erscheinende Updates sollten Sie so schnell wie möglich installieren.
  • Sichern Sie Ihr System regelmäßig. Besitzen Sie ein Backup, lässt sich Ihr PC viel leichter wieder so herstellen, wie Sie ihn kennen.
  • Surfen Sie nicht als Admin. Legen Sie bei Windows ein Nutzerkonto ohne Admin-Rechte an und nutzen Sie das Internet und E-Mails nur damit. So kann keine Software ohne Rückfrage durch das Betriebssystem installiert werden.
  • Schalten Sie Makros in Office-Programmen ab. Schädliche Software wird oft auf diesem Weg auf Computer geschleust. Sofern Sie nicht zwingend mit Makros in Ihrer Büro-Software arbeiten müssen, schalten Sie sie gänzlich ab.

Was ist zu tun, wenn Sie betroffen sind?

Hier empfiehlt das BSI folgendes:

  • Informieren Sie Ihr Umfeld über die Infektion, denn Ihre Mail-Kontakte sind in diesem Fall besonders gefährdet.
  • Ändern Sie alle auf den betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherten und eingegebenen Zugangsdaten.
  • Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor. Sollte Ihr Rechner mit Schadsoftware wie Emotet infiziert sein, dann sollten Sie diesen Rechner neu aufzusetzen oder neu aufsetzen lassen.
Fernbedienung wird auf Fernseher gerichtet

Klage wegen service-rundfunkbeitrag.de gegen SSS-Software Special Service GmbH

Die SSS-Software Special Service GmbH macht auf service-rundfunkbeitrag.de nicht ausreichend kenntlich, dass sie Geld für eigentlich kostenlosen Service verlangt. Der Verbraucherzentrale Bundesverband klagt vor dem OLG Koblenz auf Unterlassung und hat eine Sammelklage eingereicht.
Telefonberatung in Nordrhein-Westfalen

So erreichen Sie die Verbraucherzentrale Nordrhein-Westfalen

Unsere Beratungsstellen erreichen Sie per Telefon und E-Mail. Auch über eine zentrale Hotline, das zentrale Kontaktformular auf unserer Internetseite sowie bei Facebook, Instagram und Twitter können Sie uns kontaktieren.
Grafische Darstellung einer Frau, die ungeduldig auf ihre Armbanduhr schaut. Rechts daneben befindet sich das Logo von Cleverbuy, darunter eine Grafik von einem Smartphone, von der ein roter Pfeil auf einen Stapel Euroscheine führt. Rechts daneben befindet sich ein großes, rotes Ausrufezeichen, in dem "Warnung" steht.

Warnung vor Cleverbuy: Auszahlung lässt auf sich warten

"Clever Technik kaufen und verkaufen" heißt es auf der Website der Ankaufplattform Cleverbuy. Gar nicht clever ist die oft lange Zeit, die verstreicht, bis Nutzer:innen ihr Geld für Smartphone und Co. ausgezahlt bekommen. Der Verbraucherzentrale Bundesverband (vzbv) warnt daher vor dem Anbieter.