bluebit

ClickProtect mit Link zu Emotet

Sicherheitsunternehmen McAfee verteilt Banking-Malware

von Dennis Lenz •

Sicherheitsunternehmen McAfee verteilt Banking-Malware

Das IT-Sicherheitsunternehmen McAfee hat in seinem Dienst ClickProtect auf ein Word-Dokument verlinkt, das ein Makro zur Verbreitung des Banking-Trojaners Emotet enthält.


0 Kommentare

Dem IT-Sicherheitsunternehmen McAfee ist im November ein peinlicher Fehler unterlaufen. Ein Sicherheitsforscher aus der französischen Hauptstadt Paris, der nur unter dem Nicknamen Benkow bekannt ist, hat im McAfee Sicherheitsdienst ClickProtect einen Link gefunden, der auf ein schädliches Word-Dokument weiterleitet. Das Word-Dokument enthält ein Makro, welches dazu genutzt wird den Banking-Trojaner Emotet einzuschleusen. McAfee gab bekannt, dass der Zugriff auf die betroffene URL cp.mcafee.com inzwischen gesperrt wurde und somit keine Gefahr mehr davon ausgeht. Beworben wird der Dienst ClickProtect wie folgt: „Schützen Sie Ihr Unternehmen vor Hacking.“

ClickProtect soll Nutzern einen Schutz vor Malware und Phishing-Angriffen per E-Mail schützen und verhindern, dass gefährliche Webseiten aufgerufen werden. Die fragliche Malware wurde zwar auf einer externen Webseite gehostet, die einem Dritten gehört, McAfee verlinkte jedoch auf diese Adresse.

Laut einem McAfee Sprecher arbeitet ClickProtect weiterhin wie vorgesehen. Das Unternehmen untersuche den Vorfall jedoch aktuell. „In den frühen Stunden des 13. November war das fragliche Ziel noch nicht als Quelle einer Malware identifiziert worden. Im Lauf des Tages identifizierte McAfees Global Threat Intelligence Service die Website tatsächlich als Bedrohung und änderte ihren Bedrohungsstatus von ‚gering‘ zu ‚hoch.“ Durch die Änderung des Bedrohungsstatus können Benutzer von ClickProtect die Webseite nicht länger aufrufen.

Das im Word-Dokument enthaltene Makro sollte den Banking-Trojaner Emotet verteilen. Microsoft hat erst in der vergangenen Woche auf die erhöhte Verbreitung und die von Emotet ausgehende Gefahr hingewiesen. In der aktuellen Version verfügt Emotet über Features der Ransomware WannaCry, die im vergangenen Jahr für große Schäden verantwortlich war. Emotet kann sich nachdem ein Computer infiziert wurde selbstständig über eine Lücke im SMB-Protokoll in Unternehmensnetzwerken verbreiten. Die Lücke ist zwar inzwischen gepatched, viele Unternehmen verwenden jedoch immer noch veraltete Softwareversionen die nach wie vor den Fehler enthalten.

Die im Word-Dokument verwendete Masche zur Verbreitung der Schadsoftware ist bereits seit längerem bekannt. Beim Öffnen des Dokuments wird nicht die erwartete Information wie zum Beispiel eine Rechnung oder eine Lieferinformation angezeigt, sondern nur ein Sicherheitshinweis der anzeigt, dass das Makro ausgeführt werden muss um das Dokument korrekt anzuzeigen. Unerfahrene Nutzer die auf diesen Trick hereinfallen und das Makro ausführen installieren damit Emotet auf ihrem Computer. Um eventuelle Rückfragen im Kern zu ersticken, enthält das Word-Dokument noch als Begründung dafür, dass das Makro ausgeführt werden muss den Hinweis, dass es mit einer alten Word-Version erstellt wurde.

0 Kommentare

Kommentar verfassen