VBA-Malware ist noch lange nicht tot

Bildschirmfoto 2015-10-02 um 09.21.21Auch wenn man länger nichts mehr von VBA gehört hat, so sind die verschiedenen Varianten der VBA-Malware nicht tot zu kriegen und zudem allgegenwärtiger als je zuvor. Dabei mussten Forscher von Sophos vor kurzen feststellen, dass täglich bis zu 100 neue VBA-Malware Samples erscheinen.

Was ist VBA?

VBA (Visual Basic for Applications) ist eine Scriptsprache für die Automatisierung von Abläufen der Microsoft Produkt-Reihe. Zum Beispiel kann ein eingebetteter VBA-Code in einer Word-Datei automatisch beim öffnen gestartet werden, was aber nicht zwingend schädlich sein muss. VBA ist abgeleitet von Visual Basic und ist relativ einfach zu erlernen.

Dennoch greifen Kriminelle oftmals zu Vorlagen, die Sie im Internet einkaufen. Diese können durch leichte Modifizierungen an eigene Bedürfnisse angepasst werden. VBA-Malware fungiert in der Regel nur als Einstieg bzw. als sogenannter Dropper (Downloader), der bei Ausführung versteckt in Excel, Word u.a. weiteren Schadcode aus dem Internet auf den Computer herunter lädt. In der Regel werden mit VBA oder Macro-Viren schwerwiegende Infektionen, wie Info-Stealer (Dridex) oder Banking-Trojaner (Zbot) oder Ransomware (Cryptowall), auf das System gebracht.

Bildschirmfoto 2015-10-02 um 08.19.10

Paul Ducklin von Sophos erklärt. “Der VBA-Code geht einfach online, ohne Sie zu fragen und verbindet sich mit dem Command und Control Server der Kriminellen. Von dort wird dann z.B. eine bösartige exe-Datei heruntergeladen und im Hintergrund des Rechners installiert.

Wie kann VBA-Schadcode auf den Rechner gelangen?

Bildschirmfoto 2015-04-30 um 13.47.05Kriminelle versuchen immer wieder z.B. über Spam-Mails den Anwender mit gefälschten Anhängen oder Verlinkungen zu täuschen. Dazu erhalten die potenziellen Opfer gefälschte E-Mails über gescheiterte Überweisungen, gefälschte Rechnungen, Lieferungen von Paketen bis hin zur gefälschten Bewerbung. Über eingebettete Links im Text der E-Mail bzw. einem Anhang, soll der Anwender weitere Informationen erhalten. Tatsächlich führt der Link z.B. auf eine Datei welche möglicherweise auf einer Dropbox-Seite hinterlegt ist. Um das Bildschirmfoto 2015-04-30 um 10.14.18Dokument anzuzeigen, bekommt der Anwender die Anweisung die Macros in Word oder Excel zu aktivieren. Kommt der Anwender dieser Anweisung nach, geht das Zenario auch schon los – Schadcode wird auf das System heruntergeladen, installiert und gestartet.

Wie kann ich meinen Rechner schützen?

  • Installation und aktivierung einer Antiviren-Lösung
  • Deaktivieren Sie VBA-Makros in Word, Excel und anderen Anwendungen
  • Mit dem OfficeMalScanner überprüfen Sie Office-Anwendungen auf infizierte Macro-Viren

Sehr Interessanter weiterführender Beitrag über Macro-Viren bei Heise.de – Analysiert: Das Comeback der Makro-Malware

Grundsätzliche Tipps vom Botfrei-Team:

  1. Seien Sie kritisch beim Lesen dubioser E-Mails und deren Anhänge. Laden Sie keine angebotenen Programme herunter. Geben Sie niemals auf weiterführenden Links persönliche Daten an. Wenn Sie sich der Echtheit der E-Mail nicht sicher sind, rufen Sie die entsprechende Seite manuell im Browser auf. Offizielle Nachrichten sind oftmals im Account hinterlegt bzw. erkundigen Sie sich beim entsprechenden Support!
  2. Wenn Sie sich nicht sicher sind, ob Sie evtl. schon Opfer dieser Phising-Attacke geworden sind, ändern Sie die Zugangsdaten auch bei anderen Diensten.
  3. Überprüfen Sie den Rechner auf evtl. Infektionen mit unserem kostenfrei bereitgestellten Entfernungstool.

Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems. 

3 thoughts on “VBA-Malware ist noch lange nicht tot”

Kommentare sind geschlossen.