Produktempfehlung: Kaspersky lab

Seit dem Herbst/Winter 2015 konnte man beobachten, dass die längst für ausgestorben gehaltenen Makroviren wieder im Umlauf sind und tatsächlich auch Schaden angerichtet haben. Immer häufiger fand man E-Mails mit schädlichem .doc (Word/Write) oder .xls (Excel/Tabelle) vor.

-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

Dieser Versand von Makroviren nahm im Laufe des Frühlings 2016 jedoch wieder rapide ab, der Gründe dafür dürften die gestiegene Aufmerksamkeit der Empfänger sein, aber letztendlich auch die Tatsache, dass neue Office-Programme einfach nicht automatisch Makros ausführen. Die Empfänger mussten diese schon mutwillig per Hand aktivieren.

Und genau an diesem Punkt findet man auch die Schwachstelle dieser Makrovirentaktik vor: warum sollte man freiwillig Makros aktivieren, obschon man weiß, dass diese einen schädlichen Code beinhalten können? Findige Betrüger haben daher nun einen Trick in ein Dokument eingebaut , mit dem die jeweiligen Empfänger geblendet und gleichzeitig dazu bewegt werden sollen, Makros für dieses Dokument zu aktivieren:

Die E-Mail

Wie so häufig flattert zunächst eine E-Mail ins Haus. Diese stellt sich als “Erste Mahnung (Gemstar SA)” vor und trägt den Inhalt, dass nun eine Rechnungssumme offen sei, die man innerhalb von 30 Tagen begleichen müsse. Informationen findet man in der Kopie der Zahlungserinnerung.

Grüezi Herr/Frau [*** ***],

Die offene Rechnung von Euro 2,488 mit der Rechnungsnummer 001-335.00 ist noch nicht beglichen worden. Gerne füge ich Ihnen eine weitere Kopie Ihrer Zahlungsinstruktionen bei.
Zusätzlich noch eine freundliche Erinnerung: Wenn die Zahlung nicht im Verlauf der nächsten 30 Tage auf unserem Konto eingeht, beanspruchen wir, Ihrem Konto zusätzliche Mahnbeiträge . Diese sind in den AGB’s detailliert formuliert.
Freundlichst grüsst Sie,

Beat Stebler
Sigma-Aldrich
+41796261935


SPONSORED AD


Das ist jetzt nicht weiter spannend, interessant wird es, wenn man tatsächlich dazu geneigt ist, in diese angehängte Rechnungskopie zu schauen.

Der Anhang

Dieser Anhang stellt nun die vermeintliche Rechnungskopie dar, die einen Trick beinhaltet, mit dem der Empfänger in die Makrofalle tappen soll: über den mutmaßlich wichtigen und interessanten Feldern zeigt sich ein Dialogfeld. Das interessante an diesem Dialogfeld: es ist gar keines!

image

Dieses Feld ist eine reine grafische Konstruktion und Teil des Dokumentes. Wer also nun der Ansicht ist, dass dies eine Meldung von “Word” ist und der legitim anmutenden Anweisung folgt, begeht genau den Fehler und aktiviert die Makrofunktion. Folgerichtig öffnet man damit dem eingebetteten schädlichen Code Tor und Tür.

Wir haben auf sicherer Basis (für alle Neugierigen unter den Lesern) einmal geschaut, was – und ob überhaupt –hinter diesem vermeintlichen Dialogfeld steht. Das Ergebnis erstaunt nun nicht wirklich: die Adressfelder sind leer!

image

Natürlich sind sie leer, denn wer bis hier hin kommt, hat bereits die Makrofunktion ausgeführt und den Code aktiviert.

Wir empfehlen speziell für unerfahrene Nutzer: fremde Office-Dokumente aus unbekannten Quellen sollte man grundsätzlich nicht mit aktivierter Makrofunktion begegnen, besser gar nicht öffnen. Im Regelfall sind diese Sicherheitseinstellungen auch aktiv, so dass man bestätigen muss, ob ein Makro ausgeführt werden soll. Wenn man, so wie in diesem Fall, mit einem Scheinargument dazu bewegt werden soll den “Inhalt zu aktivieren”, dann kann es sich nur um einen Betrug handeln.

Daher lieber den fremden Dateien skeptisch gegenüber sein und sie im Zweifel direkt wieder schließen und löschen. Besser sogar gar nicht öffnen, wenn man sich des Absenders und seinen Grundes nicht bewusst ist.

Makroviren: die neue alte Gefahr!

Fatal an dieser Stelle: wir haben Rückmeldungen aus verschiedenen Büros/Firmenabteilungen, welche diese Mails in gutem Glauben geöffnet haben. In diesem Falle interessant: warum schreibt man im Dokument “Name der Schule”? Zielt man hier besonders auf das Umfeld “Schule” ab, in der Hoffnung, dass diese breit gestreut versendete Mail auf Sekretariate/Lehrer/Beamte/schulisch engagierte Eltern trifft?

Noch einmal zusammenfassend: der Anhang trägt eine .doc Datei, welche bei aktivierter Makrofunktion innerhalb von Office Schaden anrichtet. Daher raten wir dazu, diese Mail direkt zu löschen und nicht aus reiner Neugier einfach mal den Anhang anzuschauen.

Wer eine dieser Mails geöffnet und auch das eingebettete Makro aktiviert hat, sollte dringend den PC prüfen lassen, ein PC innerhalb eines Firmen-/Schulnetzwerkes sollte SOFORT dem entsprechenden Administrator gemeldet werden. Gerade in Firmen sollte nicht verschwiegen werden, wenn man auf so eine Mail hereingefallen ist, denn letztendlich hat man irgendwo ja Sinne der Arbeitsanweisung gehandelt – und darauf bauen die Betrüger.

Info über Makroviren

Aufgrund der neuerdings vermehrten Erscheinung von Makroviren haben wir einen Informationsartikel über Makroviren verfasst. Dieser ist hier zu lesen.