Mit alter Taktik – Macrobasierte Malware ist zurück

wp_macro2_0Macros – Totgeglaubte leben länger, oder wie? Als ob die Sicherheits-Experten nicht schon genug zu tun hätten, versuchen Kriminelle nun altbewährte Technik und Taktiken aufleben zu lassen. Dabei wird nach vielen Jahren wieder versucht, um über präparierte Office-Dokumente bösartigen Schadcode auf die Systeme der Anwender zu bringen.

Auch wenn die Methode ein wenig in die Jahre gekommen ist, sind Office-Makro Viren gegenwärtiger als wir denken. Verbreitet werden diese über groß angelegte Spam-Kampagnen, aber auch gezielt über “Social Engineering“. Adressiert werden dabei u.a. Mitarbeiter in Personalabteilungen oder in der Buchhaltung. Diese erhalten gezielt gefälschte Bewerbungen oder überfällige Rechnungen, aber auch gefälschte Überweisungs-Aufträge von Vorgesetzten. Die Verbreitung erfolgt über eingebettete Links auf manipulierte Webseiten oder durch das Öffnen eines Dokuments im Anhang einer Email.

Achtung: In der Regel werden Makros manuell vom Anwender ausgeführt!

Bisher wurden Office-Dokumente dahingehend verändert, dass integrierte Skripte als Dropper (Sprungbrett) genutzt wurden. Diese laden und installieren nach dem Öffen des Dokuments weiteren Schadcode von einem C & C-Server. Diese Methode wurde nun verfeinert, denn die Cyberkriminellen integrieren die eigentliche Malware direkt in das Office-Dokument. So ist eine aktive Internetverbindung, sowie das Initiieren eines Download im Hintergrund nicht mehr notwendig, um den Rechner zu kompromittieren. Die Infektion erfolgt sofort. Dennoch schließt dies anschliessende Übernahme des Computer durch Kriminelle bzw. Datenklau inkl. einer Verschlüsselung durch Ransomware weiterhin nicht aus.

Makros sind Befehlsserien, die zur Automatisierung wiederholt auszuführender Aufgaben verwendet werden. Die in VBA-Code geschriebene Skripte geht u.a. ohne aktive Zustimmung des Nutzers online und verbinden sich mit dem Command und Control Server der Kriminellen. Von dort wird dann z.B. eine bösartige exe-Datei heruntergeladen und im Hintergrund des Rechners installiert.

Microsoft hat inzwischen einige Sicherheitsmerkmale in seine Office-Palette integriert, so dass standardmäßig alle Macros aus unbekannten Internet-Quellen deaktiviert sind. So erscheint z.B. eine gelbe Statusleiste mit einem Schildsymbol um den Nutzer darauf hinzuweisen, dass aus SIcherheitsgründen die Macros deaktiviert sind. Der Benutzer muß jetzt manuell das Macro freigeben. Seitdem ist sicherlich das Risiko einer Infektion über blosses Öffnen einer Word-Datei verringert worden, ärgerlich ist nur wenn der Benutzer das “bösartige Script” trotzdem manuell ausführt.

bildschirmfoto-2016-10-05-um-13-40-11

YouTube: SemperVideo zeigt eindrucksvoll wie einfach es geht, einen Macro-Virus zu erstellen und auszuführen:

Überprüfen Sie Ihre Makroeinstellungen im Trust Center

Makroeinstellungen befinden sich im Trust Center. Wenn Sie jedoch in einer Organisation arbeiten, hat der Systemadministrator möglicherweise die Standardeinstellungen geändert, um zu verhindern, dass Einstellungen geändert werden.

  • Klicken Sie auf die Registerkarte Datei.
  • Klicken Sie auf Optionen.
  • Klicken Sie auf Trust Center und dann auf Einstellungen für das Trust Center.
  • Klicken Sie im Trust Center auf Makroeinstellungen.
  • Wählen Sie die gewünschten Optionen aus.
  • Klicken Sie auf OK.

blind
Die folgende Abbildung ist ein Beispiel für den Bereich Makroeinstellungen des Trust Centers.

bildschirmfoto-2016-10-05-um-13-56-51

Wie kann ich meinen Rechner schützen?

  • Durch Installation und Aktivierung einer Antiviren-Lösung
  • Deaktivieren Sie VBA-Makros in Word, Excel und anderen Anwendungen
  • Verwenden Sie alternativ z.B. das Libre-Office
  • Mit dem OfficeMalScanner überprüfen Sie Office-Anwendungen auf infizierte Macro-Viren

Ein sehr Interessanter, weiterführender Beitrag über Macro-Viren ist bei bei Heise.de  zu finden – Analysiert: Das Comeback der Makro-Malware

Grundsätzliche Tipps vom Botfrei-Team:

  1. Seien Sie kritisch beim Lesen dubioser E-Mails und deren Anhänge. Laden Sie keine angebotenen Programme herunter. Geben Sie niemals auf weiterführenden Links persönliche Daten an. Wenn Sie sich der Echtheit der E-Mail nicht sicher sind, rufen Sie die entsprechende Seite manuell im Browser auf. Offizielle Nachrichten sind oftmals im Account hinterlegt bzw. erkundigen Sie sich beim entsprechenden Support!
  2. Wenn Sie sich nicht sicher sind, ob Sie evtl. schon Opfer dieser Phising-Attacke geworden sind, ändern Sie die Zugangsdaten auch bei anderen Diensten.
  3. Überprüfen Sie den Rechner auf evtl. Infektionen mit unserem kostenfrei bereitgestellten Entfernungstool.

Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems. 

1 thought on “Mit alter Taktik – Macrobasierte Malware ist zurück”

Kommentare sind geschlossen.