Die aktuelle Variante des bekannten Trojaners Emotet verbreitet sich über E-Mails, die sich meist auf Zahlungsströme beziehen. Die täuschend echt gestalteten E-Mails enthalten ZIP-Anhänge mit Office-Dokumenten, die Schadmakros enthalten, die den Schadcode als schädliche DLL (Dynamic Link Library = Funktionsbibliothek) aus dem Internet nachladen.
Emotet ist nicht mehr darauf angewiesen ist, dass der E-Mail-Empfänger die Ausführung der Makros fahrlässig mit „Inhalt aktivieren“ zulässt, stattdessen werden für die E-Mail-Anhänge nun OneNote-Dateien (Software zur Organisation von Notizen von Microsoft) verwendet, für die ein Schutzstatus vorgetäuscht wird – ein Doppelklick auf „Anzeigen“ startet dann ohne weitere Sicherheitsabfrage die Ausführung der Makros und damit die Installation des Trojaners.
Bei Emonet handelt es sich um einen APT (Advanced Persistent Threat), der auf komplexe und zielgerichtete Weise IT-Infrastrukturen angreift.
Nachdem die Malware in der befallenen Infrastruktur aktiv geworden ist, nimmt diese Kontakt mit ihren Command&Control-Servern auf, lädt weitere Schadsoftware nach oder die Angreifer vollenden den Angriff manuell.
Nachdem bereits prominente Opfer wie die Heise-Gruppe, das Kammergericht Berlin sowie der BwFuhrpark-Service
, der auch als Fahrdienst für den Deutschen Bundestag fungiert, Emonet zum Opfer fielen, konnte Anfang 2021 ein ukrainischer Emonet-Betreiber ausgehoben und die Verbreitung weitestgehend gestoppt werden.