Vorsicht Erpressung: Word-Dokumente als Gefahrenquelle im E-Mail-Postfach

Keine Kommentare
 

Word-Dokumente werden als Anhang einer E-Mail im Allgemeinen mit nur wenig Misstrauen betrachtet und im Gegensatz zu Dateien mit .exe- oder .pdf-Endung bedenkenlos geöffnet. Schließlich können sie auf dem System ja keinen Schaden anrichten – oder? Dass diese Annahme falsch ist, zeigen die jüngsten Malware-Angriffe, die sich diese Fehleinschätzung zunutze machen. Ransomware wie Locky und Banking-Trojaner wie Dridex nutzen die Makro-Funktionalität von Microsofts Office, um sich unbemerkt von ihren Opfern auf deren PCs einzunisten.


Word Logo

Vorsicht Erpressung: Word-Dokumente als Gefahrenquelle im E-Mail-Postfach (pixabay.com/OpenClipart-Vectors)

Da das Ausführen unsignierter Makros in neueren Office-Versionen standardmäßig deaktiviert ist, lesen viele Nutzer den Begriff “Makro” erst dann zum ersten Mal, wenn sie von schädlichen Word-Dokumenten zum Aktivieren dieser Funktion aufgefordert werden. Was sie nicht wissen: Bei Makros handelt es sich um ausführbaren Programmcode. Makros für Office werden zumeist in der Programmiersprache VBA (Visual Basic for Applications) geschrieben und dienen für gewöhnlich der Automatisierung von Arbeitsabläufen. Cyberkriminelle nutzen sie stattdessen zum Programmieren von Schadfunktionen, mittels derer Malware in das System geschleust wird.

Gefährliche Automatismen: Makro-Aktivierung mit Folgen

Wurden Makros einmal aktiviert, stehen Angreifern Türen und Tore zum System offen. Die Ausführung des jeweiligen Makro-Codes erfolgt dann automatisch beim Öffnen des Dokuments. Diese Art des Angriffs ist bereits seit langer Zeit bekannt, feierte jedoch erst Anfang 2015 ihr unerfreuliches Comeback. In den meisten Fällen fungieren die Makros als Downloader für die eigentliche Schadsoftware: Sie nehmen Kontakt zu einem entfernten Server auf und laden Malware nach, die sie anschließend auf lokaler Ebene ausführen. Um Spam-Filter zu umgehen, wird fast immer mit Obfuskierung, also Verschleierung des Codes mittels zufällig erzeugter Funktions- und Variablennamen, aber auch mit Verschlüsselungsmechanismen gearbeitet. In einigen Fällen wird der verschlüsselte Schadcode auch direkt aus dem Makro extrahiert und ausgeführt.

Berühmt-berüchtigt für die Verbreitung per Word-Dokument ist momentan vor allem Ransomware wie Locky, die Dateien verschlüsselt und eine Art “Lösegeld” für die Entschlüsselung verlangt. Diese Art des Angriffs ist besonders folgenschwer, da die Wiederherstellung der Dateien auf eigene Faust oft kompliziert und manchmal gar unmöglich ist. Aber auch jede andere Malware kann mittels schädlicher Makros auf den Rechner gelangen. Glücklicherweise lässt sich einer Infektion per Makro-Code recht gut vorbeugen: Sofern die Ausführung von Makros deaktiviert ist und bleibt, besteht keinerlei Gefahr. Da übrigens auch kostenlose Open Source-Textverarbeitungsprogramme wie etwa OpenOffice oder LibreOffice in begrenztem Maße VBA-Makros ausführen können, sollte hier ebenfalls sorgfältig auf eine Deaktivierung geachtet werden.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen