Spammer haben die Makro-Skripte wieder für sich entdeckt. Was eigentlich schon seit langen Zeiten als Gefahr galt, wird nun tastsächlich wieder als Angriffsfläche genutzt.

- Sponsorenliebe | Werbung -

Die Mail kommt an sich ganz harmlos daher, passend zu Weihnachten als harmlose Bestellbestätigung, bei der man Menge, Summe und Lieferadresse testen soll. Der Anhang ist …. eine Office Datei!

mvir1

Der Text lautet:

Sehr geehrter Kunde,

Vielen Dank für die Bestellung.
Bitte überprüfen Sie die Bestellmenge, die Bestellsumme und die Lieferadresse.
Die Rechnung finden Sie im Anhang.

Bei Fragen stehen wir Ihnen gern zu Verfügung.

Mit freundlichen Grüßen
Geschäftsführer. Dirk Schirakowski ; Schütze Uwe

Vertreter Schütze Uwe ; Schirakowski Dirk
Umsatzsteuer-Identifikationsnummer gemäß § 27a

Umsatzsteuergesetz: DE189964006 Stnr.: 2636530279
Registernummer: KS HR A8707
Inhaltlich Verantwortlicher gemäß § 6 MDStV: Dirk Schirakowski

Fatal 1)

Niemand rechnet mit damit – die meisten erwarten bei Malware einen Anhang als .zip, .exe oder .ico., jedoch eine Datei mit .doc halten viele Empfänger für harmlos.

Dem ist nicht so! Bösartige Makros in Officeprogrammen sind keine Neuheit, sondern schon sehr lange Möglich und die Programme warnen sogar vor der Ausführung von Makros, sofern diese in einer Datei vorhanden sind. Die Sicherheitslücke ist in diesem Fall der Nutzer, weil ihm die Makros-Skripte als Gefahr so nicht bewusst sind.

Fatal 2)

Die Daten in der Mail sind echt! Zumindest was die Nennung der Firmendaten angeht. Hier wurde wahllos ein Firmenimpressum ausgenutzt, die Inhaber der Firma wissen das und haben ihrerseits Maßnahmen ergriffen.

Eine Info an die betroffene Firma ist daher nicht notwendig!

mvir2
(Screenshot: schira.de)

Der Anhang

Wie schon beschrieben, handelt es sich beim Anhang um eine Office-Datei, welches ein Makro-Skript ausführt, sobald die Datei gestartet und der Warnhinweis ignoriert wird. Dieses Skript startet einen Download, ist also ein sogenannter Dropper. Hier wird Malware nachgeladen und auf dem Rechner installiert.

mvir3

Daher nochmals die Warnung:

Den Anhang dieser Mail NICHT ausführen, sondern die Mail direkt löschen!

Autor: Andre, mimikama.at

-Mimikama unterstützen-

Weil du diesen Bericht zu Ende gelesen hast…

Kannst du uns bitte einen kleinen Gefallen tun? Mehr Menschen denn je lesen die Artikel von mimikama.at, aber die Werbeerträge sinken rapide. Anders als andere Organisationen haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten so offen wie möglich halten. Der unabhängige Enthüllungsjournalismus von mimikama.at bedeutet jedoch harte Arbeit, er kostet eine Menge Zeit und auch Geld. Aber wir tun es, weil es wichtig und richtig ist, in Zeiten wie diesen Internetnutzer mit transparenten Informationen zu versorgen. Wir hoffen, dass du es schätzt, dass es keine Bezahlschranke gibt: Unserer Auffassung nach ist es demokratischer für Medien, für alle zugänglich zu sein und nicht nur für ein paar wenige, die sich dieses "Gut" leisten können. Durch deine Unterstützung bekommen auch jene einen Zugang zu diesen Informationen, die es sich sonst nicht leisten könnten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama.at auch weiterhin geben.

Folgende Unterstützungsmöglichkeiten bieten wir an: via PayPal,via Steady

TEILEN