Mit dem World Wide Web wurde der Grundstein zur Entwicklung vieler angenehmer Dinge gelegt, die uns heute als Selbstverständlichkeit erscheinen und ohne einen Großteil der Bevölkerung gar nicht mehr auskommen könnte.
Sei es Mail-Verkehr, Online-Banking, WLAN, Streaming-Dienste oder Homeoffice. Aber es ist auch das Fundament einer rasant wachsenden Entwicklung von Malware und dessen Verbreitung..
Täglich werden Hunderttausende neue Malware Signaturen registriert sowohl völlig neue als auch Mutationen bereits bekannter. Nur die Wenigsten haben einen griffigen Namen, häufig als Zeugnis ihres verursachten Schadens.
Emotet startete als ein ziemlich normaler Banking-Trojaner im Jahr 2014 und machte wenig anders als viele andere Trojaner. Über Phishingmails als verseuchter Link oder als bösartiger Anhang nistete sich Emotet im Hostsystem ein und wartete darauf Bankdaten abzugreifen. Das war sein Modus Operandi bis etwa 2016.
Mit 2017 überraschte Emotet mit einer neuen Form. Der „Vertriebsweg“ war mehr oder weniger gleich geblieben, nun aber operierte Emotet in erster Linie als ein „Dropper“. Dropper dienen dazu andere Malware nachzuladen, quasi wie Frachtschiffe.
Die Entwickler von Emotet hatten ihn mit weiteren Modulen und Fähigkeiten ausgestattet und „vermieteten“ ihn nun an andere Kriminelle für deren Malware und Ziele (z. B. Ransomware, Keylogger, Bots, Kryptominer, etc).
Emotet bildete die Grundlage von etwa 60% aller Phishing-Angriffe im Jahre 2019 und hat sich von einem einfachen Banking-Trojaner zu der „Waffenplattform“ für Cyberkriminelle entwickelt.
Zu den neuen Fähigkeiten von Emotet zählten unter anderem das selbstständige ausbreiten im Netzwerk, durch den Einsatz eines „Eternalblueexploit“-Moduls, oder das Bruteforcing von Nutzeraccounts im Active Directory, um sich in anderen Computern einzunisten oder sich weiter per E-Mail zu verbreiten.
Emotets größte Fähigkeit ist jedoch seine Fähigkeit zu Polymorphen, um gängige Signaturen basierte Antiviren-Lösungen auszutricksen. Emotet ist in der Lage seinen Code selbstständig so zu ändern, dass er einerseits seine Funktionen beibehält, auf der anderen Seite jedoch zu anders wirkt, um erkannt zu werden.
Es ist so, als würde die Polizei einen Gestaltenwandler mit Fahndungsfotos jagen. Dazu kommen noch Module, die aktive Scans oder virtuelle Umgebungen versuchen zu erkennen, um Emotet in dieser Zeit inaktiv zu schalten.
Emotet legte von 2014 bis heute eine bemerkenswerte Entwicklung hin. Und darf als Vorzeigebeispiel, vielleicht auch als Avantgarde zukünftiger Malware bezeichnet werden.
Hervorstechendes Beispiel hierfür dürfte wohl die ThiefQuest-Malware sein, die mit ähnlich viel Aufwand weiterentwickelt wird seit ihrem bekannt werden im Juni 2020. Und auch Emotet hat sein Ende noch nicht erreicht und mit Beginn Juli 2020 eine neue Verbreitungswelle gestartet.
