Emotet und PDF-Dokumente – Erweiterung für den Inhaltsfilter

Seit dieser Woche sehen wir eine neue Emotet Spam-Welle im deutschsprachigen Raum, welche in größerem Umfang in Postfächern landet. Auch das CERT-Bund hat bereits dazu eine Warnung veröffentlicht.

ACHTUNG: Es werden weiterhin gefälschte Rechnungen versendet, mit deren Hilfe sich die #Schadsoftware #Emotet verbreiten soll. Aktuell ist der Download-Link zum schädlichen Word-Dokument (.doc) nicht direkt in der E-Mail enthalten, sondern in einem PDF-Dokument im Anhang der E-Mail. pic.twitter.com/Y0Icxr24eN

— CERT-Bund (@certbund) 18. Februar 2019

Diese PDF Dokumente enthalten keine aktiven Inhalte oder Exploit, sondern bestehen aus einfachem Text mit einem Link. Neuere Variationen täuschen z.B. eine Telekom-Rechnung vor, welche dann einen Link enthält, der natürlich nicht zur Telekom verweist.

 

Hinter dem Link verbirgt sich dann ganz Emotet-typisch in der Regel ein Word-Dokument mit Makro, welches bei der Ausführung einen Vorwand vorgibt, damit der unbedarfte Nutzer die Makro-Funktionalität für dieses Dokument aktiviert und somit die eigentliche Bedrohung im Hintergrund auf den Rechner des Opfers lädt und ausführt.

Wir werden in der nächsten Woche dazu eine neue NoSpamProxy-Version im Schnellen Kanal veröffentlichen. In dieser Version wird dann ein neuer Dateityp „PDF-Dokument (mit URLs)“ für den Inhaltsfilter bereitgestellt, welcher mit den Features „Protection“ und „Large Files“ genutzt werden kann.

Hiermit hat man die Möglichkeit, im Inhaltsfilter beispielsweise eine Aktion für nicht vertrauenswürdige E-Mails zu definieren, in der solche PDFs mit Links dann zur Sicherheit ins Web Portal gesperrt werden, oder besser abgewiesen werden können.

Bitte beachten Sie auch weiterhin regelmäßige Updates zu Emotet im NoSpamProxy Blog, wo wir über die neusten Entwicklungen informieren und auch Handlungsempfehlungen aussprechen.