Wir konnten in den vergangenen Wochen immer häufiger beobachten, dass E-Mails mit schädlichem .doc (Word/Write) oder .xls (Excel/Tabelle) versendet wurden.
Das mag vor allem jene ein wenig erstaunen, die schon länger im Internet unterwegs sind, da diese Art von Viren, welche man Makroviren nennt, eigentlich als ausgestorben galten. Doch diese Dinosaurier der Malware scheinen eine kleine Renaissance zu erleben.
Wir konnten beobachten, dass immer öfter Mail mit dem Anhang .doc daherkommen und zunächst harmlos wirken. Doch diese Dokumente sind alles andere als harmlos, denn sie beinhalten Makros, welche Schaden anrichten können.
Makro
Ein Makro ist ein programmierter Ablauf, welcher in Dokumente (Text- oder Tabellendokumente) eingebettet werden kann. Der ursprüngliche Zweck von Makros ist die Arbeitserleichterung für den Nutzer: Makros sollen bestimme Vorgänge automatisieren, welche für den Nutzer mühselig oder langweilig sind. Beispiel: die automatische Erzeugung von Adressaufklebern aus Adressdateien oder automatisches Suchen und Markieren bestimmter Wörter in einem Text.
Jedoch können Makros auch schadhaft sein! Man kann mittels eines Makros auch ganze Festplatten formatieren oder schadhafte Dateien aus dem Internet nachladen. Daher wurde Makros aus unbekannten und nicht vertrauenswürdigen Quellen schon seit langem als gefährlich eingestuft. Microsoft hat ebenfalls vor Jahren schon reagiert und seit Office 2007 können Makros in den neuen Formaten XLSX, DOCX, PPTX nicht ausgeführt werden, sowie auch die automatische Ausführung von Makros standardmäßig deaktiviert ist.
Das sollte auch eigentlich das Ende der Makroviren gewesen sein, die gerade um die Jahrtausendwende bis hin zu 2007 recht häufig schadhafte Makros in Officedokumente eingebaut wurden und diese dann per Mail versandt wurden. Diese waren jedoch in ihrer Erscheinungsform meist schwach, so dass dies in Kombination mit den neuen Sicherheitssystemen seit 2007 zu einem Aussterben der Makroviren geführt hat.
Wieder da!
Doch sie sind wieder da. Sie sind nicht wieder da, weil die Sicherheitsvorkehrungen vielleicht entfallen sind – nein, die sind weiterhin da. Die Makros sind zurück, weil man sie heutzutage besser verpackt!
Der Empfänger einer E-Mail bekommt sein Makro heutzutage in wunderbar konstruierten Geschichten verpackt serviert. Ob als Steuerrückerstattung, Bewerbung oder Rechnung: die Betrüger geben sich Mühe, dass Interesse ihrer Opfer zu wecken, damit diese freiwillig die makros in der Datei aktivieren.
Zudem kommt, dass bei vielen Menschen sich mittlerweile ein Schleier des Vergessens gelegt hat und man die Angst vvor gefährlichen makros verloren hat, denn man geht ja davon aus, dass diese ausgestorben seien. Doch die Dinos trampeln wieder!
Erst gestern
Am 10.Dezember 2015 wurde von einem gehackten Firmenaccount aus in großer Anzahl eine “Rechnung” im Officeformat versendet (siehe unseren Artikel “Warnung! Trojanerversand von echtem Firmenaccount “Bergmann & Söhne”).
Es handelte sich auch hier um einen Makrovirus, jedoch war hier der Rahmen real: die Firma existiert, die genannte Person existiert und es klingt auch durchaus plausibel, dass man von dieser Stelle eine Rechnung bekommen könnte.
Das Interesse, bzw. das Kontrolldenken des Empfängers ist hier erwacht und somit ist man auch dazu geneigt, trotz Warnung das Makro zu aktivieren, da man davon ausgeht, die Mail stammt aus vertrauenswürdiger Quelle.
Kombinierte Gefahr
Es ist also die Kombination der verschiedenen Elemente, welche die Makroviren wieder ins Geschäft gebracht haben und auch wieder gefährlich machen.Der Aufbau einer vertrauenswürdigen Umgebung, ein authentisch wirkender Grund, ein sauberer Stil und Aufbau der Mail, das alles manipuliert den Empfänger eine Mail mit Schadsoftware so weit, dass er geneigt sein kann, ein Makro zu aktivieren. Wir empfehlen speziell für unerfahrene Nutzer: fremde Office Dokumente aus unbekannten Quellen sollte man grundsätzlich nicht mit aktivierter Makrofunktion begegnen. Im Regelfall sind diese Sicherheitseinstellungen auch aktiv, so dass man bestätigen muss, ob ein Makro ausgeführt werden soll.
Daher lieber den fremden Dateien skeptisch gegenüber sein und sie im Zweifel direkt wieder schließen und löschen. Besser sogar gar nicht öffnen, wenn man sich des Absenders und seinen Grundes nicht bewusst ist.
Weiterführende Informationen:
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)