Skip to main content
Achtung: Malware in Word-Dokumenten aus dem Internet
360-Grad SicherheitDatenschutzSicherheit

Achtung: Malware in Word-Dokumenten aus dem Internet

By 20. November 2018August 9th, 2021No Comments

Mal ist es das Versprechen einer hohen Rechnungsgutschrift, mal eine Rechnung mit einem sehr hohen Betrag, der vom Konto abgebucht werden soll. Dies steht zumindest in den E-Mails, die man erhält und die auf den ersten Blick meist sogar recht seriös erscheinen. Oftmals ist der Absender auf den ersten Blick sogar ein bekannter Kontakt. Im Anhang der Mails finden sich WORD-Dokumente. Öffnet man diese installiert sich im Hintergrund eine Malware auf dem Rechner.

 

Unser Kooperationspartner G DATA hat  einen neuen Schädling in Word-Dokumenten ausgemacht. Dieser wird wieder einmal per E-Mail an Nutzer geschickt, Anwendern werden Korrekturen von Rechnungen oder Gutschriften versprochen, oder es soll ein hoher Geldbetrag abgebucht werden. Der Empfänger der Mail soll dazu allerdings zunächst ein angehängtes Word-Dokument öffnen. In diesem Dokument findet sich Schadcode, der zur Installation der bereits bekannten Malware „Emotet“ führt und einen Rechner für die Installation weiterer Malware vorbereitet.

Die erhaltenen Mails werden dabei unter falschem Namen gesendet. Häufig handelt es sich dabei auf den ersten Blick um Bekannte oder bestehende Kontakte der potenziellen Opfer. Die Mailadressen sind allerdings nur oberflächlich gefälscht, ein Blick in den detaillierten E-Mailheader zeigt die ursprünglichen Absenderadressen. Uns vorliegende Mails haben den Betreff „Rechnung“ und eine fingierte Rechnungsnummer oder der Betreff lautet „Zahlungsschreiben“.

 

Öffnen Sie keine Word-Dokumente aus dem Netz

Grundsätzlich gibt es keinen Grund ein Word-Dokument, das aus dem Internet an Sie gesendet wurde zu öffnen. Seit vielen Jahren wissen wir alle nun bereits, dass mit in Word-Dokumenten enthaltenen Makros Schadcode nachgeladen wird und dieser für Infektionen verantwortlich ist. Auch wenn die Versuchung noch so groß ist eine WORD-Datei zu öffnen, tun Sie es nicht!

 

Rechnungen, Gutschriften Verträge oder sonstige Dokumente aus seriösen Quellen werden heute in der Regel immer im PDF-Format zugestellt.

 

Neben der Installation einer Sicherheits-Lösung sollten Nutzer daher stets folgende Regeln im Umgang mit E-Mails beachten:

  • Unverlangt zugesendete E-Mails von fremden Personen sollten grundsätzlich kritisch beäugt werden, insbesondere wenn sie Anhänge enthalten
  • Für Privatanwender gibt es kaum Einsatzzwecke für Makros und andere „aktive Elemente“. Diese sollten demnach ganz grundsätzlich nicht aktiviert werden. Auch im Unternehmenskontext gibt es nur begrenzte Einsatzzwecke für Makros, diese werden in der Regel nur in speziellen Formularen genutzt.
  • Im Zweifelsfall gilt: Einfach kurz Nachfragen, ob die Mail tatsächlich vom entsprechenden Absender stammt. Ist dieser bekannt am besten fix persönlich Anrufen oder über einen Messenger nachfragen.

 

Was aber macht Emotet genau?

Damit sich die Malware installieren kann, müssen die Empfänger der infizierten Mails nach dem Öffnen der Anhänge zunächst der Ausführung von Makros zustimmen. Bei Dokumenten aus dem Internet sollte diese Option allerdings niemals gewählt werden. In der aktuellen Welle werden die Nutzer mit einem besonders perfiden Trick dazu animiert, die aktiven Inhalte zuzulassen.

Das Dokument wird blau eingefärbt und es erscheint der Hinweis, dass die Datei mit einer Webversion von Office erstellt worden sei. Aus diesem Grund müsse der Nutzer die aktiven Inhalte freischalten. Tut der Anwender dies, öffnet das Makro im Hintergrund die Windows Powershell und lädt darüber weiteren Schadcode nach. Zum Einsatz kommt hier Emotet. Emotet kann sich dauerhaft auf einem System einnisten und öffnet dann eine Backdoor für die Installation weiterer Malware.

 

Beherzigen Sie immer die oben genannten Tipps beim Umgang mit E-Mails und Dateien, die Sie möglicherweise aus dem Netz herunterladen. Achten Sie darauf, dass Ihr Betriebssystem immer die neuesten Updates installiert hat und  aktuell gehalten wird. Installieren Sie sich zudem eine bewährte Sicherheits-Software, wie zum Beispiel die Lösung von unserem Kooperationspartner G DATA.

 

Ausführliche Informationen zu unserem Sicherheits-Produkt finden Sie auch in diesem Beitrag und auf dicide.de.

 

Tags:

Mathias Penz

Mathias Penz

Mathias lebt mit seiner Familie direkt am Ostseefjord Schlei und ist seit der Gründung von Dicide an Bord. Mit über 25 Jahren Erfahrung im Bereich digitaler Dienste bringt er eine umfangreiche Expertise mit. Als Cloud Engineer liegt sein Fokus auf der Implementierung von Microsoft-Clouddiensten und Anwendungen. Er sorgt dafür, dass Anwender*innen schnell und zuverlässig auf die Cloud zugreifen und arbeiten können. Mathias deckt die gesamte Bandbreite ab: von der Migration von Unternehmen in die Cloud über Monitoring und Optimierung bis hin zu Wartung und Service. Besonders wichtig ist ihm die Absicherung der Cloud. Er ergreift Maßnahmen zur Erhöhung der IT-Sicherheit, um Datenintegrität und Datenschutz zu gewährleisten. Neben seiner beruflichen Tätigkeit hat Mathias ein großes Interesse an Technologie, Web-Technologien und Netzkultur. Er liebt es, jeden Tag etwas Neues zu lernen, Probleme zu lösen und anderen zu helfen. In seiner Freizeit steht die Familie an erster Stelle. Urlaube verbringt er meist weit weg im Wohnwagen, er fährt gern Fahrrad, liest Bücher, schaut Serien und ist ein begeisterter Online-Gamer. Kontaktieren Sie Mathias Penz auf LinkedIn.

Leave a Reply