Nach fast drei Monaten Stille hat das Security Lab, das hauseigene Sicherheitslabor von Hornetsecurity, eine neue Variante des Trojaners entdeckt. Die neueste Version von Emotet nutzt sehr große Dateien, um Sicherheitsscans zu umgehen und sich in IT-Systeme einzuschleusen. Oftmals scannen Sicherheitssoftwares nämlich nur die ersten Bytes von großen Dateien – oder lassen sie ohne eigenen Scan in das System.
Die Spam-E-Mails enthalten eine 600 KB große ZIP-Datei als Anhang, die wiederum riesige Word-Dokumente (.doc) von über 500 MB enthalten. Öffnet der angegriffene User eines der Word-Dokumente, wird umgehend eine bösartige Payload im .dll-Format heruntergeladen, die ebenfalls mehr als 500 MB umfasst.
Aktuell ist die neue Emotet-Variante noch nicht sehr weit verbreitet, das Security Lab geht aber davon aus, dass sie sich bald sehr schnell verbreiten wird. E-Mails, die den Trojaner enthalten, können vollkommen seriös wirken.
Selbst wenn Sicherheitssysteme diese Mails herausfiltern und unter Quarantäne stellen, können Enduser sie eigenmächtig wieder freigeben und so aus der Quarantäne befreien. Doch wer dem Virus zum Opfer fällt, trägt maßgeblich zu dessen Verbreitung bei.
IT-Administratoren müssen daher umgehend handeln. Zum einen müssen sie die Belegschaft eindringlich vor dieser neuen Gefahr warnen. Zum anderen gilt es, diese maliziösen E-Mails konsequent zu blockieren. Andernfalls schwebt der Unternehmenserfolg in großer Gefahr.
Hornetsecurity hilft seinen Kunden bei der Abwehr solcher Angriffe, indem die Advanced Threat Protection solche E-Mails mit sofortiger Wirkung ablehnt.