-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

Spammer haben die Makro-Skripte wieder für sich entdeckt. Was eigentlich schon seit langen Zeiten als Gefahr galt, wird nun tastsächlich wieder als Angriffsfläche genutzt.

-Produktempfehlung: Kaspersky lab-

Die Mail kommt an sich ganz harmlos daher, passend zu Weihnachten als harmlose Bestellbestätigung, bei der man Menge, Summe und Lieferadresse testen soll. Der Anhang ist …. eine Office Datei!

mvir1

Der Text lautet:

Sehr geehrter Kunde,

Vielen Dank für die Bestellung.
Bitte überprüfen Sie die Bestellmenge, die Bestellsumme und die Lieferadresse.
Die Rechnung finden Sie im Anhang.

Bei Fragen stehen wir Ihnen gern zu Verfügung.

Mit freundlichen Grüßen
Geschäftsführer. Dirk Schirakowski ; Schütze Uwe

Vertreter Schütze Uwe ; Schirakowski Dirk
Umsatzsteuer-Identifikationsnummer gemäß § 27a

Umsatzsteuergesetz: DE189964006 Stnr.: 2636530279
Registernummer: KS HR A8707
Inhaltlich Verantwortlicher gemäß § 6 MDStV: Dirk Schirakowski

Fatal 1)

Niemand rechnet mit damit – die meisten erwarten bei Malware einen Anhang als .zip, .exe oder .ico., jedoch eine Datei mit .doc halten viele Empfänger für harmlos.

Dem ist nicht so! Bösartige Makros in Officeprogrammen sind keine Neuheit, sondern schon sehr lange Möglich und die Programme warnen sogar vor der Ausführung von Makros, sofern diese in einer Datei vorhanden sind. Die Sicherheitslücke ist in diesem Fall der Nutzer, weil ihm die Makros-Skripte als Gefahr so nicht bewusst sind.

Fatal 2)

Die Daten in der Mail sind echt! Zumindest was die Nennung der Firmendaten angeht. Hier wurde wahllos ein Firmenimpressum ausgenutzt, die Inhaber der Firma wissen das und haben ihrerseits Maßnahmen ergriffen.

Eine Info an die betroffene Firma ist daher nicht notwendig!

mvir2
(Screenshot: schira.de)

Der Anhang

Wie schon beschrieben, handelt es sich beim Anhang um eine Office-Datei, welches ein Makro-Skript ausführt, sobald die Datei gestartet und der Warnhinweis ignoriert wird. Dieses Skript startet einen Download, ist also ein sogenannter Dropper. Hier wird Malware nachgeladen und auf dem Rechner installiert.

mvir3

Daher nochmals die Warnung:

Den Anhang dieser Mail NICHT ausführen, sondern die Mail direkt löschen!

Autor: Andre, mimikama.at