{
	"id": "e70dba3b-d593-4720-944b-473decfc7d39",
	"created_at": "2026-04-06T00:11:21.870834Z",
	"updated_at": "2026-04-10T03:20:19.37562Z",
	"deleted_at": null,
	"sha1_hash": "cee0f862a2d83c578fe7dfde8971475676d42387",
	"title": "Emotet beutet Outlook aus",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 143647,
	"plain_text": "Emotet beutet Outlook aus\r\nBy G DATA Advanced Analytics\r\nPublished: 2024-11-14 · Archived: 2026-04-05 22:30:38 UTC\r\n12.10.2017\r\nLesezeit: 4 min (969 Wörter)\r\nEmotet ist seit mehreren Jahren eine bekannte Trojaner-Gruppe. Lag der Fokus zuvor auf Internetbanking, so hat\r\nsich Emotet heute zu einem modularen Downloader und Infostealer entwickelt.\r\nErste Berichte der neusten Emotet-Version wurden von CERT Polska im April 2017 veröffentlicht. Bereits zur\r\ndieser Zeit wurde Emotet über per E-Mail versandte Links, die auf einen Dropper verweisen, verteilt.\r\nKürzlich warnte CERT-Bund erneut vor Spam-Emails, über die Emotet verbreitet wird. Auch bei diesen Mails\r\nscheint der Absender dem Empfänger bekannt zu sein - dies stärkt das Vetrauen in die E-Mail und erhöht die\r\nWahrscheinlichkeit, dass der Empfänger eine genauere Überprüfung von Anhängen oder enthaltenen Links\r\nvernachlässigt. Um solche Beziehungen zwischen Personen herstellen zu können, liefert Emotet ein spezielles\r\nModul aus, das alle E-Mails in den Outlook-Konten des aktuellen Benutzers analysiert und Relationen zwischen\r\nSendern und Empfängern aufbaut.\r\nhttps://www.gdata.de/blog/2017/10/30110-emotet-beutet-outlook-aus\r\nPage 1 of 4\n\nZur Extraktion der Informationen aus Outlook verwendet das Modul die standardisierte Schnittstelle MAPI (im\r\nBild oben wird der Ladevorgang der MAPI-DLL und das Auflösen der vom Modul benötigten Funktionen\r\ndargestellt). Mit Hilfe dieser Schnittstelle iteriert das Modul über alle ihm zugänglichen Outlook-Profile des\r\nComputers. Aus jedem Profil werden aus allen vorhandenen E-Mail-Konten Name und E-Mail-Adresse extrahiert.\r\nIm Anschluss wird jeder Ordner des Profils rekursiv nach E-Mails durchsucht. Aus jeder gefundenen E-Mail\r\nwerden der Absender (angezeigter Name und E-Mail-Adresse) sowie alle Empfänger (angezeigter Name und E-Mail-Adresse) inklusive der Empfänger in den CC- und BCC-Feldern extrahiert und in Relation zueinander\r\ngespeichert (im Bild unten sind die Felder zu sehen, welche aus den E-Mails extrahiert werden). Sollte in einem\r\nder extrahierten Felder ein Verweis auf das Adressbuch enthalten sein, wird aus dem entsprechenden Eintrag des\r\nAdressbuches Name und die E-Mail-Adresse der Person extrahiert. Allerdings werden nur die Header der E-Mail\r\nausgewertet, der Inhalt wird nicht analysiert.\r\nNachdem alle Profile, Ordner und E-Mails durchsucht wurden, schreibt das Modul die gesammelten Daten in eine\r\ntemporäre Datei im Verzeichnis %PROGRAMDATA%. Die E-Mail-Adressen werden zusätzlich noch nach der\r\nHäufigkeit ihres Vorkommens absteigend sortiert. Jede E-Mail wird um alle Kontakte erweitert, zu denen sie in\r\nRelation steht. Es werden dabei jedoch zwei Fälle unterschieden:\r\nist der referenzierte Kontakt der Absender einer E-Mail, werden alle Empfänger dem Kontakt zugeordnet\r\nist der referenzierte Kontakt ein Empfänger der E-Mail, wird nur der Absender dem Kontakt zugeordnet. \r\nBeispiel:\r\nhttps://www.gdata.de/blog/2017/10/30110-emotet-beutet-outlook-aus\r\nPage 2 of 4\n\nPostfach von A:\r\nMail 1: A sendet an B und C\r\nMail 2: D sendet an A\r\nMail 3: C sendet an A , D und E \r\nA wird 3-mal referenziert und steht in der Liste ganz oben. A hat durch Mail 1 eine Verbindung zu B und C, diese\r\nwerden also mit A verknüpft. Mail 2 zeigt eine Verbindung von D zu A, deshalb wird D ebenfalls mit A verknüpft.\r\nIn Mail 3 ist eine Relation von C nach A vorhanden. Diese wird allerdings ignoriert, da sie bereits zu Beginn mit\r\nhttps://www.gdata.de/blog/2017/10/30110-emotet-beutet-outlook-aus\r\nPage 3 of 4\n\nA→C erfasst wurde. In Mail 3 gibt es allerdings noch die Relationen C↔D und C↔E. Da weder die Relation\r\nC↔D noch C↔E in der Liste vorhanden sind, werden C die Kontakte D und E zugeordnet und ebenfalls in die\r\nListe aufgenommen.\r\nDie vollständige Liste, die dem Angreifer übermittelt wird, sieht nun wie folgt aus:\r\nA\u003cA@mail.com\u003e; B\u003cB@mail.com\u003e; C\u003cC@mail.net\u003e; D\u003cD@mail.com\u003e\r\nC\u003cC@mail.net\u003e; D\u003cD@mail.com\u003e; E\u003cE@mail.com\u003e \r\nAnschließend wird die Datei verschlüsselt, an den Server der Angreifer übermittelt und von der Festplatte des\r\nComputers gelöscht.\r\nDurch dieses Modul erhalten die Angreifer einen umfassenden Überblick, ob und in welcher Relation die Sender\r\nund Empfänger der Mails stehen. Unter Zuhilfenahme einer solchen Liste ist es für einen Angreifer mit keinem\r\ngroßen Aufwand verbunden, die Beziehungen von Personen zueinander zu erkennen und Spam-Mails mit\r\npassenden Absendern zu schicken. Zusätzlich gewinnt ein Angreifer Informationen über Relationen von Personen,\r\nderen Rechner nicht befallen sind.\r\nUm die Spam E-Mails später an die passenden Adressaten verteilen zu können, benötigen die Angreifer E-Mail\r\nAccounts. Um dies zu erreichen, setzen sie ein zusätzliches Modul mit der Aufgabe, die Zugangsdaten aus E-Mail\r\nProgrammen zu extrahieren und an die Angreifer zu übermitteln, ein. Das Modul greift dazu auf eine mitgeführte\r\nKopie der Anwendung Mail PassView der Firma NirSoft zurück. Diese extrahiert die Zugangsdaten aus allen\r\ngeläufigen E-Mail Programmen (Microsoft Outlook, Mozilla Thunderbird, Windows Mail, ...) und schreibt diese\r\nebenfalls in eine temporäre Datei. Diese Datei wird dann wieder verschlüsselt, an den Server der Angreifer\r\nübermittelt und anschließend gelöscht.\r\nUpdate: Emotet nimmt Bankkunden ins Visier - vollständige Analysen verfügbar\r\nWeitere Informationen finden Sie auch auf dem Blog der G DATA Advanced Analytics. (Quelle in englischer\r\nSprache) \r\n Wichtige IT-Security-News per E-Mail\r\nAktuelle IT-Gefahren\r\nSchutz-Tipps für Privatkunden\r\n15 % Willkommensgutschein\r\nSource: https://www.gdata.de/blog/2017/10/30110-emotet-beutet-outlook-aus\r\nhttps://www.gdata.de/blog/2017/10/30110-emotet-beutet-outlook-aus\r\nPage 4 of 4",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.gdata.de/blog/2017/10/30110-emotet-beutet-outlook-aus"
	],
	"report_names": [
		"30110-emotet-beutet-outlook-aus"
	],
	"threat_actors": [],
	"ts_created_at": 1775434281,
	"ts_updated_at": 1775791219,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/cee0f862a2d83c578fe7dfde8971475676d42387.pdf",
		"text": "https://archive.orkl.eu/cee0f862a2d83c578fe7dfde8971475676d42387.txt",
		"img": "https://archive.orkl.eu/cee0f862a2d83c578fe7dfde8971475676d42387.jpg"
	}
}