Die Entwicklungsarbeit an Emotet ist weiterhin aktiv – das zeigen Ergebnisse von Sicherheitsforscher*innen, die sich aktuelle Versionen von Emotet angeschaut haben.
Nach dem spektakulären Takedown Anfang 2021 und der mehr oder minder stillen Rückkehr des langjährigen „Königs der Schadsoftware“ Ende 2021 ist es – auch bedingt durch die Ereignisse in der Ukraine – relativ still um Emotet geworden. Die Entwicklung nimmt jedoch weiterhin ungebremst Fahrt auf, was sich auch in einigen Neu- und Weiterentwicklungen zeigt. Hier werfen wir einen Blick auf zwei bemerkenswerte Entwicklungen, die beide Auswirkungen sowohl auf Heimanwender*innen als auch Unternehmen haben.
Ausbreitung per Netzlaufwerk
Das Emotet sich als virtueller Türöffner auch kreuz und quer durch ein Firmennetzwerk bewegen kann, ist erst einmal nichts wirklich Neues. Bemerkenswert ist allerdings, dass nun auch ein Modul wieder in Emotet vorhanden ist, das für eine Weile verschwunden war. Ziel dieses Moduls war und ist die Verbreitung per SMB-Freigabe. Hier kommt jedoch keine bisher unentdeckte Sicherheitslücke zum Einsatz, sondern eine klassische Brute-Force-Methode. Da in Unternehmensnetzen vielfach gerade Administratorkonten nicht immer mit ausreichend starken Passwörtern gesichert sind, nutzt die aktuelle Version des Spreader-Moduls eine Liste mit oft verwendeten Passwörtern, um Zugang in andere Bereiche des Netzwerkes zu bekommen.
Die Liste enthält die folgenden Passwörter:
letmein
tigger
jennifer
999999
lovely
qazwsxedc
hunter
Password
147258369
q1w2e3r4t5
222222
andrew
123456789a
joshua
secret
samsung
starwars
11111111
nicole
1111
123abc
michelle
lol123
thomas
liverpool
jordan
soccer
Status
jessica
naruto
a123456
qwer1234
charlie
123654
0123456789
baseball
asd123
asdfgh
555555
aaaaaa
fuckyou
computer
1234561
abcd1234
1q2w3e
sunshine
7777777
master
azerty
qwe123
123456a
superman
1234qwer
qazwsx
asdasd
daniel
121212
shadow
michael
killer
football
112233
pokemon
asdfghjkl
123123123
q1w2e3r4
monkey
zxcvbnm
159753
123qwe
987654321
princess
ashley
dragon
666666
1qaz2wsx
password1
1qaz2wsx3edc
qwerty123
654321
qwertyuiop
1q2w3e4r
123321
000000
123
iloveyou
q1w2e3r4t5y6
1q2w3e4r5t
abc123
1234567
1234567890
111111
1234
123123
12345
12345678
qwerty
password
123456789
123456
Sollte der Leser oder die Leserin dieses Artikels eines dieser Passwörter derzeit verwenden, sollte es umgehend geändert werden. Selbiges gilt auch dann, wenn ein Dienstkonto (etwa für eine Datenbank oder einen Backup-Job) ein solches Passwort benutzt. Gerade Dienstkonten sind dafür bekannt, dass dort Passwörter über Jahre unverändert bleiben. Oft gibt es sogar Vorschriften von Herstellern oder interne Regelungen, die sogar explizit das Ändern von Dienstkonto-Passwörtern verbietet. Unter Sicherheitsgesichtspunkten ist das mehr als bedenklich.
Zahlungsdaten im Visier
Doch auch Heimanwender, die sich normalerweise eher nicht mit Dienstkonten befassen müssen, haben hier einiges zu befürchten. Ziel der Bemühungen der Macher von Emotet ist dabei eine Funktion, die viele Anwender*innen aus Bequemlichkeitsgründen verwenden: die „Auto-Vervollständigen“-Funktion in Googles Chrome-Browser. Diese lässt sich nicht nur nutzen, um oft notwendige Eingaben zu beschleunigen, wie etwa Name, Anschrift und E-Mail. Das ist gerade fürs Online-Shopping praktisch. Doch auch Zahlungsdaten lassen sich hier eingeben, wie etwa Kreditkartendaten. Das Problem: Eine neue Emotet-Funktion durchsucht gezielt diese Auto-Vervollständigen-Daten nach Zahlungsinformationen.
In einem Browser sind solche Informationen nicht gut aufgehoben, da Kriminelle sie mit recht geringem Aufwand auslesen können. Dasselbe gilt übrigens auch für Passwörter. Die meisten aktuellen Browser bieten auch einen Passwortspeicher, um Anmeldevorgänge etwa auf Shoppingseiten oder Diskussionsforen zu beschleunigen.
Wir raten daher generell von der Verwendung dieser browserinternen Funktionen ab. Stattdessen sollte für sämtliche kritischen Daten externe Programme zur Anwendung kommen wie etwa Passwortmanager. Die Auswahl ist groß und beinhaltet sowohl kostenfreie als auch kostenlose Optionen. Dort wo es möglich ist, raten wir zur Nutzung von mehrstufigen Anmeldungen, auch Mehrfaktor-Authentifizierung genannt.
Tim Berghoff
Security Evangelist