# Emotet beutet Outlook aus **gdata.de/blog/2017/10/30110-emotet-beutet-outlook-aus** 12.10.2017 G DATA Blog Emotet ist seit mehreren Jahren eine bekannte Trojaner-Gruppe. Lag der Fokus zuvor auf Internetbanking, so hat sich Emotet heute zu einem modularen Downloader und Infostealer entwickelt. [Erste Berichte der neusten Emotet-Version wurden von CERT Polska im April 2017](https://www.cert.pl/en/news/single/analysis-of-emotet-v4/) veröffentlicht. Bereits zur dieser Zeit wurde Emotet über per E-Mail versandte Links, die auf einen Dropper verweisen, verteilt. [Kürzlich warnte CERT-Bund erneut vor Spam-Emails, über die Emotet verbreitet wird. Auch](https://twitter.com/certbund/status/909740525128908801) bei diesen Mails scheint der Absender dem Empfänger bekannt zu sein - dies stärkt das Vetrauen in die E-Mail und erhöht die Wahrscheinlichkeit, dass der Empfänger eine genauere Überprüfung von Anhängen oder enthaltenen Links vernachlässigt. Um solche Beziehungen zwischen Personen herstellen zu können, liefert Emotet ein spezielles Modul aus, das alle E-Mails in den Outlook-Konten des aktuellen Benutzers analysiert und Relationen zwischen Sendern und Empfängern aufbaut. ----- Zur Extraktion der Informationen aus Outlook verwendet das Modul die standardisierte Schnittstelle [MAPI (im Bild oben wird der Ladevorgang der MAPI-DLL und das Auflösen der](https://msdn.microsoft.com/en-us/library/cc765775.aspx) vom Modul benötigten Funktionen dargestellt). Mit Hilfe dieser Schnittstelle iteriert das Modul über alle ihm zugänglichen Outlook-Profile des Computers. Aus jedem Profil werden aus allen vorhandenen E-Mail-Konten Name und E-Mail-Adresse extrahiert. Im Anschluss wird jeder Ordner des Profils rekursiv nach E-Mails durchsucht. Aus jeder gefundenen E-Mail werden der Absender (angezeigter Name und E-Mail-Adresse) sowie alle Empfänger (angezeigter Name und E-Mail-Adresse) inklusive der Empfänger in den CC- und BCCFeldern extrahiert und in Relation zueinander gespeichert (im Bild unten sind die Felder zu sehen, welche aus den E-Mails extrahiert werden). Sollte in einem der extrahierten Felder ein Verweis auf das Adressbuch enthalten sein, wird aus dem entsprechenden Eintrag des Adressbuches Name und die E-Mail-Adresse der Person extrahiert. Allerdings werden nur die Header der E-Mail ausgewertet, der Inhalt wird nicht analysiert. Nachdem alle Profile, Ordner und E-Mails durchsucht wurden, schreibt das Modul die gesammelten Daten in eine temporäre Datei im Verzeichnis %PROGRAMDATA%. Die EMail-Adressen werden zusätzlich noch nach der Häufigkeit ihres Vorkommens absteigend sortiert. Jede E-Mail wird um alle Kontakte erweitert, zu denen sie in Relation steht. Es werden dabei jedoch zwei Fälle unterschieden: ist der referenzierte Kontakt der Absender einer E-Mail, werden alle Empfänger dem Kontakt zugeordnet ist der referenzierte Kontakt ein Empfänger der E-Mail, wird nur der Absender dem Kontakt zugeordnet. ### Beispiel: ----- Postfach von A: Mail 1: A sendet an B und C Mail 2: D sendet an A Mail 3: C sendet an A, D und E A wird 3-mal referenziert und steht in der Liste ganz oben. A hat durch Mail 1 eine Verbindung zu B und C, diese werden also mit A verknüpft. Mail 2 zeigt eine Verbindung von D zu A, deshalb wird D ebenfalls mit A verknüpft. In Mail 3 ist eine Relation von C nach A vorhanden. Diese wird allerdings ignoriert, da sie bereits zu Beginn mit A→C erfasst wurde. In Mail 3 gibt es allerdings noch die Relationen C↔D und C↔E. Da weder die Relation C↔D noch C↔E in der Liste vorhanden sind, werden C die Kontakte D und E zugeordnet und ebenfalls in die Liste aufgenommen. Die vollständige Liste, die dem Angreifer übermittelt wird, sieht nun wie folgt aus: A; B; C; D C; D; E ----- Anschließend wird die Datei verschlüsselt, an den Server der Angreifer übermittelt und von der Festplatte des Computers gelöscht. Durch dieses Modul erhalten die Angreifer einen umfassenden Überblick, ob und in welcher Relation die Sender und Empfänger der Mails stehen. Unter Zuhilfenahme einer solchen Liste ist es für einen Angreifer mit keinem großen Aufwand verbunden, die Beziehungen von Personen zueinander zu erkennen und Spam-Mails mit passenden Absendern zu schicken. Zusätzlich gewinnt ein Angreifer Informationen über Relationen von Personen, deren Rechner nicht befallen sind. Um die Spam E-Mails später an die passenden Adressaten verteilen zu können, benötigen die Angreifer E-Mail Accounts. Um dies zu erreichen, setzen sie ein zusätzliches Modul mit der Aufgabe, die Zugangsdaten aus E-Mail Programmen zu extrahieren und an die Angreifer zu übermitteln, ein. Das Modul greift dazu auf eine mitgeführte Kopie der Anwendung Mail _PassView der Firma NirSoft zurück. Diese extrahiert die Zugangsdaten aus allen geläufigen_ E-Mail Programmen (Microsoft Outlook, Mozilla Thunderbird, Windows Mail, ...) und schreibt diese ebenfalls in eine temporäre Datei. Diese Datei wird dann wieder verschlüsselt, an den Server der Angreifer übermittelt und anschließend gelöscht. ## Update: Emotet nimmt Bankkunden ins Visier - vollständige Analysen verfügbar [Weitere Informationen finden Sie auch auf dem Blog der G DATA Advanced Analytics.](https://cyber.wtf/2017/11/27/emotet-drops-zeus-panda-targeting-german-and-austrian-online-banking-users/) (Quelle in englischer Sprache) [Malware](https://www.gdata.de/blog/malware) [CyberCrime](https://www.gdata.de/blog/cybercrime) [Mails](https://www.gdata.de/blog/mails) **Die besten Beiträge per Mail** Aktuelle Beiträge Jederzeit kündbar ### Alle wichtigen IT-Security-News bequem per E-Mail Sparen Sie sich jede Menge Zeit – wir behalten für Sie den Überblick über die ITSicherheitslage. Die mit * markierten Felder sind Pflichtfelder. ## Vielen Dank für Ihr Interesse. Sie erhalten in Kürze eine E-Mail. Bitte klicken Sie darin auf den Link, um Ihre Daten zu **bestätigen.** ----- Sollten Sie in Ihrem Posteingang keine E-Mail von uns vorfinden, kontrollieren Sie bitte auch Ihren Spamordner. zurück zum Formular -----