Hacker sabotiert Cyberkriminelle mit animierten GIFs

Emotet ist bereits seit 2014 in Umlauf. Die Schadsoftware ist ein Banking-Trojaner, spezialisiert auf das Abgreifen von Online-Banking-Daten.

Im Laufe der Jahre wurde er erweitert, um verschiedene andere Schadsoftware auf infizierte Systeme nachzuladen. Ende 2018 kam die Fähigkeit hinzu E-Mails auszulesen. Statt generischer Phishing-Mails bekamen die Empfänger jetzt E-Mails, die aussahen wie von Arbeitskollegen und Geschäftspartnern.

Öffnet man die beiliegende Office-Datei oder folgt den Link im Mail, wird die eigentliche Emotet-Schadsoftware heruntergeladen. Der eigene Computer wird dann nicht nur ausspioniert, sondern auch Teil des Emotet-Botnetz und von den Cyberkriminellen zum weiteren Verschicken von Phishing-Mails genutzt.

Wieder aktiv nach längerer Pause

Am 7. Februar 2020 stellte das Botnetz, das die Emotet-Phishing-Mails verschickte und koordinierte, den Betrieb ein. Mitte Juli sind sie Cyberkriminellen aber wieder aktiv geworden und haben es reaktiviert. Einen unbekannten Hacker scheint dar gar nicht zu gefallen. Diese Woche hat er begonnen, Emotet zu sabotieren – mit animierten GIFs.

Die Cyberkriminellen legen die Schadsoftware, die heruntergeladen wird, wenn das Opfer auf die Phishing-Mails hereinfällt, auf gehackten WordPress-Webseiten ab. Zur koordinierten Steuerung wird eine Open Source Webshell-Software genutzt. Der Hacker hat das Passwort dafür herausgefunden.

Er hat damit begonnen, die Schadsoftware auf den WordPress-Seiten täglich durch andere Inhalte zu ersetzen. Anstatt Schadsoftware, werden auf die infizierten Computer jetzt populäre, animierte GIFs heruntergeladen. Den Anfang machte das WTF-GIF von Blink 182.

Danach folgte ein GIF von James Franco.

Als nächstes wurde die Schadsoftware durch den Hackerman von Kung Fu Fury ersetzt.

Etwa ein Viertel der Emotet-Schadsoftware wurde so jeden Tag durch animierte GIFs ersetzt, berichtet ZDNet. Dies bedeutet finanzielle Verluste für die Cyberkriminellen, da so weniger Computer infiziert werden und sie weniger Geld stehlen können.

Die Cyberkriminellen sollen laut IT-Securityforschern das Problem erkannt haben. Am Donnerstag wurde das Botnetz deaktiviert, um den Hacker aus dem System zu schmeißen und die Kontrolle über die Webshells zurückzuerhalten.

Die Securityforscher vermuten, dass das Botnetz derzeit nur mit 25 Prozent Leistung läuft, weil die Cyberkriminellen noch nicht die volle Kontrolle zurückerlangt haben. Wer der Hacker ist, ist bisher nicht bekannt. In der Community wird vermutet, dass es sich entweder um einen IT-Securityforscher handelt oder um eine rivalisierende Gang von Cyberkriminellen, die die Konkurrenz sabotierten will.