Neue Variante des Emotet-Trojaners setzt auf “aufgeblähte” Office-Dateien

Malware (Bild: Shutterstock.com/Maksim Kabakou)

Sie verstecken sich in einer kleinen ZIP-Datei und sind mehr als 500 MByte groß. Emotet setzt darauf, dass Sicherheitsanwendungen nur den Anfang von großen Dateien scannen.

Das Sicherheitslabor von Hornetsecurity warnt vor einer neuen Variante des Trojaners Emotet. Die Verbreitung erfolgt über Spam-E-Mails mit einem gefährlichen Dateianhang. Allerdings setzten die Cyberkriminellen auf ein neues Detail, um Sicherheitsanwendungen auszutricksen.

Die derzeit verschickten E-Mails enthalten laut Hornetsecurity einen etwa 600 KByte großen Dateianhang im ZIP-Format. In dem Archiv befindet sich wiederum eine auf über 500 MByte aufgeblähte Word-Datei. Sicherheitsanwendungen scannen unter Umständen Dateien in dieser Größe nicht oder nur die ersten Bytes einer solchen Datei. Im Fall der neuen Emotet-Variante könnte unter diesen Umständen der enthaltene Schadcode unentdeckt bleiben.

Neue Emotet-Variante bisher wenig verbreitet

Wird die Word-Datei geöffnet, lädt der eingebettete Schadcode eine bösartige Dateibibliothek im DLL-Format herunter. Sie ist ebenfalls mehr als 500 MByte groß.

Hornetsecurity weist darauf hin, dass die neue Emotet-Variante noch nicht sehr weit verbreitet ist. Der Sicherheitsanbieter geht aber davon aus, dass sie sich “sehr schnell verbreiten wird”. Gefährlich sei auch, dass die Emotet-E-Mails oftmals sehr seriös wirkten. “Selbst wenn Sicherheitssysteme diese Mails herausfiltern und unter Quarantäne stellen, können Enduser sie eigenmächtig wieder freigeben und so aus der Quarantäne befreien”, warnt Hornetsecurity.

Der Sicherheitsanbieter rät IT-Administratoren, Nutzer auf die neue Gefahr hinzuweisen. Zudem sei es notwendig, gefährliche E-Mails konsequent zu blockieren.