Emotet über OneNote: Der Trojaner findet neue Wege
Der Vorfall
Emotet gilt als eine der gefährlichsten und langlebigsten Malware-Familien der Geschichte. Seit 2014 als Banking-Trojaner gestartet, entwickelte sich Emotet zu einer umfassenden Malware-Plattform, die als Türöffner für weitere Schadsoftware diente – darunter Ryuk- und Conti-Ransomware. Im Januar 2021 gelang Europol die vorübergehende Zerschlagung der Infrastruktur, doch bereits Ende 2021 war Emotet zurück.
Jahrelang war der bevorzugte Infektionsweg von Emotet klar: Microsoft-Office-Dokumente mit eingebetteten Makros. Doch im Juli 2022 änderte Microsoft die Spielregeln grundlegend: Makros in Dokumenten aus dem Internet wurden standardmäßig blockiert. Für Emotet schien das zunächst ein schwerer Schlag zu sein.
Doch im März 2023 tauchte Emotet mit einer neuen Taktik auf: Statt Word- oder Excel-Dateien verschickten die Angreifer nun Microsoft OneNote-Anhänge (.one-Dateien). OneNote-Dateien konnten eingebettete Skripte und Dateien enthalten, und – das war der entscheidende Punkt – Microsofts Makro-Blockade griff hier nicht. Die Sicherheitsgemeinschaft beobachtete innerhalb weniger Wochen eine massive Welle von Emotet-Infektionen über diesen neuen Vektor.
Wie der Angriff funktionierte
Die OneNote-basierte Emotet-Kampagne folgte einem ausgeklügelten mehrstufigen Angriffsmuster:
Stufe 1 – Die Phishing-Mail: Die Angriffe begannen mit täuschend echten E-Mails. Emotet war berüchtigt dafür, echte E-Mail-Konversationen zu kapern: Die Malware las auf infizierten Rechnern den E-Mail-Verlauf aus und antwortete dann im Namen des Opfers an dessen Kontakte. Die Empfänger sahen eine vertraute Antwort in einem laufenden Gespräch – mit einem OneNote-Anhang, der angeblich ein Dokument, eine Rechnung oder eine Lieferschein enthielt.
Stufe 2 – Die OneNote-Falle: Wenn Du die .one-Datei öffnetest, zeigte OneNote eine Seite mit einem großen Button – typischerweise beschriftet mit „Doppelklick zum Anzeigen" oder „Dokument anzeigen". Hinter diesem Button verbarg sich jedoch kein Dokument, sondern ein eingebettetes Windows Script File (.wsf) oder eine HTA-Datei. Ein grafisches Overlay verdeckte den eigentlichen Inhalt und die Warnung von OneNote, dass das Ausführen von Anhängen gefährlich sein könnte.
Stufe 3 – Der Dropper: Bei Doppelklick auf den Button führte Windows das eingebettete Skript aus. Dieses Skript war bewusst minimal gehalten – oft nur wenige Zeilen Code, die eine Verbindung zu einem Command-and-Control-Server herstellten und den eigentlichen Emotet-Loader herunterluden. Der Dropper nutzte dabei häufig PowerShell oder wscript.exe, also legitime Windows-Systemtools, um unter dem Radar von Sicherheitssoftware zu bleiben.
Stufe 4 – Der Emotet-Loader: Die heruntergeladene DLL wurde über regsvr32.exe ausgeführt – wiederum ein legitimes Windows-Tool. Der Loader etablierte Persistenz, indem er sich in den Autostart eintrug und Registry-Schlüssel modifizierte. Anschließend meldete er sich beim C2-Netzwerk an und wartete auf weitere Anweisungen.
Stufe 5 – Die Payload: Emotet diente als Türöffner: Über den etablierten Zugang wurden weitere Schadprogramme nachgeladen. In vielen Fällen folgten Cobalt Strike Beacons (ein Penetrationstest-Tool, das von Kriminellen missbraucht wird), Informationsstealer oder direkt Ransomware. Ein einzelner Klick auf einen OneNote-Button konnte so innerhalb von Stunden zur vollständigen Verschlüsselung eines Unternehmensnetzwerks führen.
Warum Virenscanner versagten
Die OneNote-Kampagne war für Virenscanner besonders tückisch:
Neuer Angriffsvektor: OneNote-Dateien waren bis 2023 kein bekannter Malware-Vektor. Die meisten Virenscanner hatten keine ausgereiften Erkennungsroutinen für eingebettete Skripte in .one-Dateien. Es war ein blinder Fleck, den Emotet gezielt ausnutzte.
Legitime Tools als Waffen: Der gesamte Infektionsprozess nutzte Windows-eigene Werkzeuge: wscript.exe, PowerShell, regsvr32.exe. Virenscanner müssen diese Tools laufen lassen, weil sie für den normalen Betrieb essentiell sind. Die Unterscheidung zwischen legitimem und bösartigem Einsatz ist extrem schwierig.
Ständig wechselnde Signaturen: Emotet änderte die eingebetteten Skripte und die heruntergeladenen Payloads regelmäßig. Die Infrastruktur rotierte die C2-Server und die ausgelieferten DLLs mehrmals täglich. Signaturbasierte Erkennung konnte nicht Schritt halten.
Social Engineering überwindet technische Barrieren: OneNote zeigte zwar eine Warnung an, bevor eingebettete Dateien ausgeführt wurden. Doch das grafische Overlay verdeckte diese Warnung geschickt, und die täuschend echte E-Mail-Konversation hatte bereits Vertrauen geschaffen. Kein Virenscanner kann verhindern, dass ein Nutzer auf „OK" klickt.
Polymorphe Payloads: Die von Emotet nachgeladenen DLLs waren polymorph – sie änderten bei jeder Auslieferung ihre Struktur, behielten aber ihre Funktionalität. Für einen Virenscanner sah jede Version wie eine völlig neue, unbekannte Datei aus.
So hätte Deep Freeze geschützt
Deep Freeze hätte die gesamte Emotet-Infektionskette an ihrer kritischsten Stelle unterbrochen:
Der Dropper verschwindet beim Neustart. Selbst wenn Du auf den vermeintlichen Button in der OneNote-Datei klickst und das Skript ausgeführt wird – beim nächsten Reboot wird die Festplatte in den Originalzustand zurückgesetzt. Das heruntergeladene Skript, die temporären Dateien und alle Zwischenprodukte sind weg.
Der Emotet-Loader kann sich nicht einnisten. Emotet schreibt sich in die Registry und den Autostart-Ordner, um nach einem Neustart aktiv zu bleiben. Auf einer eingefrorenen Systempartition werden genau diese Änderungen bei jedem Reboot rückgängig gemacht. Die Persistenzmechanismen greifen ins Leere.
Die Türöffner-Funktion wird ausgehebelt. Das gefährlichste an Emotet war seine Rolle als Plattform für weitere Malware. Ransomware, Stealer, Cobalt Strike – all das wird nach dem Neustart gelöscht. Der gesamte mehrstufige Angriff wird an der Wurzel gekappt.
Kein Wettlauf mit neuen Varianten nötig. Während Virenscanner verzweifelt versuchen, mit den ständig neuen OneNote-Varianten Schritt zu halten, setzt Deep Freeze an einem Punkt an, den keine Malware umgehen kann: dem Neustart. Es spielt keine Rolle, ob die Variante zehn Minuten oder zehn Monate alt ist.
Die gekaperte E-Mail-Kommunikation wird unterbrochen. Emotet liest E-Mail-Verläufe aus, um neue Phishing-Mails zu generieren. Auf einer eingefrorenen Systempartition kann die Malware diese Daten zwar in einer laufenden Sitzung lesen, aber nach dem Reboot sind alle Spuren getilgt und der Rechner sendet keine weiteren kompromittierten E-Mails.
Die Lehre
- Angreifer passen sich an Sicherheitsmaßnahmen an. Als Microsoft Makros blockierte, dauerte es nur Monate, bis Emotet einen neuen Vektor fand. Sicherheit ist kein einmaliges Ereignis, sondern ein fortlaufender Prozess.
- Vertrauenswürdige Absender sind kein Schutz. Emotets Fähigkeit, echte E-Mail-Konversationen zu kapern, machte herkömmliches Phishing-Training wirkungslos. Die Mail kam von einem bekannten Kontakt in einem laufenden Gespräch.
- OneNote-Dateien waren ein unerwarteter Angriffsvektor. Viele Unternehmen blockierten Office-Makros, aber niemand dachte an OneNote-Anhänge. Jedes Dateiformat kann potenziell missbraucht werden.
- Legitime Windows-Tools sind die besten Tarninstrumente. PowerShell, wscript.exe und regsvr32.exe sind für Angreifer so wertvoll, weil Sicherheitssoftware sie nicht blockieren kann.
- Deep Freeze neutralisiert den gesamten mehrstufigen Angriff: Statt jede neue Emotet-Variante einzeln erkennen zu müssen, wird bei jedem Neustart der sichere Zustand wiederhergestellt. Die eingefrorene Systempartition ist die einzige Verteidigung, die nicht von der Kreativität der Angreifer abhängt.