Achtung: Malware in Word-Dokumenten aus dem Internet

Mal ist es das Versprechen einer hohen Rechnungsgutschrift, mal eine Rechnung mit einem sehr hohen Betrag, der vom Konto abgebucht werden soll. Dies steht zumindest in den E-Mails, die man erhält und die auf den ersten Blick meist sogar recht seriös erscheinen. Oftmals ist der Absender auf den ersten Blick sogar ein bekannter Kontakt. Im Anhang der Mails finden sich WORD-Dokumente. Öffnet man diese installiert sich im Hintergrund eine Malware auf dem Rechner.

 

Unser Kooperationspartner G DATA hat  einen neuen Schädling in Word-Dokumenten ausgemacht. Dieser wird wieder einmal per E-Mail an Nutzer geschickt, Anwendern werden Korrekturen von Rechnungen oder Gutschriften versprochen, oder es soll ein hoher Geldbetrag abgebucht werden. Der Empfänger der Mail soll dazu allerdings zunächst ein angehängtes Word-Dokument öffnen. In diesem Dokument findet sich Schadcode, der zur Installation der bereits bekannten Malware „Emotet“ führt und einen Rechner für die Installation weiterer Malware vorbereitet.

Die erhaltenen Mails werden dabei unter falschem Namen gesendet. Häufig handelt es sich dabei auf den ersten Blick um Bekannte oder bestehende Kontakte der potenziellen Opfer. Die Mailadressen sind allerdings nur oberflächlich gefälscht, ein Blick in den detaillierten E-Mailheader zeigt die ursprünglichen Absenderadressen. Uns vorliegende Mails haben den Betreff „Rechnung“ und eine fingierte Rechnungsnummer oder der Betreff lautet „Zahlungsschreiben“.

 

Öffnen Sie keine Word-Dokumente aus dem Netz

Grundsätzlich gibt es keinen Grund ein Word-Dokument, das aus dem Internet an Sie gesendet wurde zu öffnen. Seit vielen Jahren wissen wir alle nun bereits, dass mit in Word-Dokumenten enthaltenen Makros Schadcode nachgeladen wird und dieser für Infektionen verantwortlich ist. Auch wenn die Versuchung noch so groß ist eine WORD-Datei zu öffnen, tun Sie es nicht!

 

Rechnungen, Gutschriften Verträge oder sonstige Dokumente aus seriösen Quellen werden heute in der Regel immer im PDF-Format zugestellt.

 

Neben der Installation einer Sicherheits-Lösung sollten Nutzer daher stets folgende Regeln im Umgang mit E-Mails beachten:

  • Unverlangt zugesendete E-Mails von fremden Personen sollten grundsätzlich kritisch beäugt werden, insbesondere wenn sie Anhänge enthalten
  • Für Privatanwender gibt es kaum Einsatzzwecke für Makros und andere „aktive Elemente“. Diese sollten demnach ganz grundsätzlich nicht aktiviert werden. Auch im Unternehmenskontext gibt es nur begrenzte Einsatzzwecke für Makros, diese werden in der Regel nur in speziellen Formularen genutzt.
  • Im Zweifelsfall gilt: Einfach kurz Nachfragen, ob die Mail tatsächlich vom entsprechenden Absender stammt. Ist dieser bekannt am besten fix persönlich Anrufen oder über einen Messenger nachfragen.

 

Was aber macht Emotet genau?

Damit sich die Malware installieren kann, müssen die Empfänger der infizierten Mails nach dem Öffnen der Anhänge zunächst der Ausführung von Makros zustimmen. Bei Dokumenten aus dem Internet sollte diese Option allerdings niemals gewählt werden. In der aktuellen Welle werden die Nutzer mit einem besonders perfiden Trick dazu animiert, die aktiven Inhalte zuzulassen.

Das Dokument wird blau eingefärbt und es erscheint der Hinweis, dass die Datei mit einer Webversion von Office erstellt worden sei. Aus diesem Grund müsse der Nutzer die aktiven Inhalte freischalten. Tut der Anwender dies, öffnet das Makro im Hintergrund die Windows Powershell und lädt darüber weiteren Schadcode nach. Zum Einsatz kommt hier Emotet. Emotet kann sich dauerhaft auf einem System einnisten und öffnet dann eine Backdoor für die Installation weiterer Malware.

 

Beherzigen Sie immer die oben genannten Tipps beim Umgang mit E-Mails und Dateien, die Sie möglicherweise aus dem Netz herunterladen. Achten Sie darauf, dass Ihr Betriebssystem immer die neuesten Updates installiert hat und  aktuell gehalten wird. Installieren Sie sich zudem eine bewährte Sicherheits-Software, wie zum Beispiel die Lösung von unserem Kooperationspartner G DATA.

 

Ausführliche Informationen zu unserem Sicherheits-Produkt finden Sie auch in diesem Beitrag und auf dicide.de.

 

(Visited 45 times, 1 visits today)