Warnung vor schädlichen E-Mail-Anhängen mit .one und .html

Das Landeskriminalamt Baden-Württemberg warnt vor einer aktuellen Angriffswelle im E-Mail-Verkehr. Computer und IT-Netzwerke werden mit Schadsoftware infiziert. Anschließend werden Daten ausgespäht und sabotiert.

Autor: Tom Wannenmacher


Liebe Leserin, lieber Leser,

jeden Tag strömt eine Flut von Informationen auf uns ein. Doch wie viele davon sind wirklich wahr? Wie viele sind zuverlässig und genau? Wir bei Mimikama arbeiten hart daran, diese Fragen zu beantworten und dir eine Informationsquelle zu bieten, der du vertrauen kannst.

Aber um erfolgreich zu sein, brauchen wir deine Hilfe. Du hast es in der Hand, eine Welt voller vertrauenswürdiger Informationen zu schaffen, indem du uns jetzt unterstützt. Jede Unterstützung, ob groß oder klein, ist ein wichtiger Beitrag zu unserer Mission.

Werde Teil einer Bewegung, die sich für die Wahrheit einsetzt. Deine Unterstützung ist ein starkes Signal für eine bessere Informationszukunft.

❤️ Herzlichen Dank

Du kannst uns entweder via PayPal oder mittels einer Banküberweisung unterstützen. Möchtest Du uns längerfristig unterstützen, dann kannst Du dies gerne mittels Steady oder Patreon tun.


Achtung vor E-Mail-Anhängen mit der Endung .one und .html

IT-Fachkräfte haben die von Office-Dateien ausgehende Gefahr erkannt und die IT-Netzwerke vor der Ausführbarkeit nicht signierter Makro-Elemente gesichert. Cyberkriminelle weichen aus und verwenden zunehmend auch andere präparierte Dateitypen, die sie mit E-Mails oder Download-Links in die Computersysteme potentieller Opfer einzubringen versuchen.

Mimikama-Information: Vor rund zwei Wochen haben IT-Sicherheitsexperten der Cybersecurity-Firma neue Aktivitäten einer Ransomware entdeckt. Die Schadsoftware verbreitet sich deshalb so rasant, da diese auf bereits bestehende E-Mail-Verläufe antwortet und eine .zip-Datei als Anhang hinzufügt. In den E-Mails geht es um Finanzen und Rechnungen.

Wie gehen die Angreifer vor?

Die Absender verwenden sogenannte OneNote-Dateien. Diese Dateien besitzen in der Regel die Dateiendung .one und können bösartig programmierte Bestandteile enthalten. Die Manipulation der Dateien ist für Empfänger nicht erkennbar. Führen die Anwender die manipulierte One-Datei aus, initialisiert sich ein enthaltenes Skript (Programm), das unbemerkt zum Download von Schadsoftware führt.

Andere Cyberkriminelle versenden schädliche Datei-Anhänge im Format .htm oder .html. Die Aktivierung der Dateien kann zur Ausführung enthaltener schädlicher Skripte wie beispielsweise JavaScript führen.

Lesen Sie auch: Die gefährliche Schadsoftware Emotet meldet sich zurück: neuer Angriffsweg über bösartige OneNote-Dateien

Besonderheiten

Die Absender täuschen oftmals die Identität und die E-Mail-Adresse von bekannten E-Mail-Kontakten vor. Der Text der E-Mail weist plausible Inhalte auf und soll den Empfänger der E-Mail zum Aktivieren der beigefügten Datei-Anlage oder Downloadlinks verleiten.

Empfehlungen der Polizei

  • Veranlassen Sie unverzüglich die Einrichtung technischer Gegenmaßnahmen durch die IT-Fachkräfte Ihrer Institution. Diese Maßnahmen sollten im Alltag dauerhaft eingerichtet sein und sich auch auf andere kritische Dateitypen beziehen.
  • Blockieren Sie E-Mail-Anhänge und Downloads, die OneNote-Dateien (.one, .onetoc2, onepkg) enthalten und deren Ausführbarkeit.
  • Sofern Sie reguläre OneNote-Dateien verwenden: Richten Sie technische Gruppenrichtlinien ein, die in OneNote-Dateien enthaltene unsignierte Skripte blockieren.
  • Verwenden Sie für Microsoft-Systeme unbedingt Schutzfunktionen wie WDAC, SRP und AppLocker.
  • Blockieren Sie die Möglichkeit des Downloads ausführbarer und sonstiger kritischer Dateien aus dem Internet und die Aktivierung dieser Dateitypen durch Anwender (insbesondere .js, .hta und .dll). Beziehen Sie auch die Benutzerprofile der Anwender ein. Ausschließlich von IT-Fachkräften geprüfte und freigegebene Dateien sollten ausführbar sein (Whitelist).
  • Deaktivieren oder beschränken Sie unbedingt die Verwendung von PowerShell.
  • Deaktivieren oder beschränken Sie Windows Script Host und MSHTA.
  • Prüfen Sie die Möglichkeit der Deaktivierung von Skripten wie JavaScript in allen verwendeten Browsern Ihrer Institution. Deinstallieren oder deaktivieren Sie veraltete Browser wie den Internet Explorer.
  • Der Hersteller Microsoft hat Updates zur Reduzierung des Risikos angekündigt. Wie für alle zur Verfügung stehenden Updates gilt: Installieren Sie Sicherheitsupdates zeitnah nach der Veröffentlichung.
  • Die übergangsweise Umleitung aller E-Mails und Downloads, die OneNote Dateien beinhalten, in gesicherte Bereiche, ist empfehlenswert. Die IT Fachkräfte sollten diese Dateien vor der Weiterleitung an die Anwender einer intensiven Prüfung unterziehen.
  • Unabhängig der aktuellen Problematik ist die Deaktivierung aktiver Inhalte in E-Mails sinnvoll.

Die Zentrale Ansprechstelle Cybercrime für Unternehmen und Behörden beim Landeskriminalamt Baden-Württemberg hat polizeiliche Handlungsempfehlungen gegen Verschlüsselungsangriffe veröffentlicht und erläutert mit dem Dokument weitere empfehlenswerte Schutzmaßnahmen zur Abwehr von Cyberangriffen:

Informationen
Zentrale Ansprechstelle Cybercrime
beim Landeskriminalamt Baden-Württemberg

Die ZAC dient als zentraler Ansprechpartner für die Wirtschaft und Behörden in allen Belangen des Themenfeldes Cybercrime.
Erreichbarkeit der ZAC:
Telefon: +49 (0)711 5401 2444
E-Mail: [email protected]
Website: www.lka-bw.de/zac

Quellen:
Landeskriminalamt Baden-Württemberg
Confense


Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstand durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Mehr von Mimikama