Schädliche Office-Dokumente kursieren
In den vergangenen Wochen ist eine Vielzahl von Meldungen bei der Melde- und Analysestelle Informationssicherung über schädliche Microsoft-Office-Dokumente eingegangen, welche via Email verbreitet werden und das Ziel haben, den Computer des Opfers mit Schadsoftware (Malware) zu infizieren. Die Bundesstelle warnt deshalb explizit vor dem Öffnen solcher Office-Dokumente.
Die Zahl von Spam-Kampagnen, welche schädliche Microsoft-Office-Dokumente verbreiten (erkennbar an den Dateiendungen .doc, .docx, .xls, .xlsx, .ppt und .pptx), hat sich in den vergangenen Wochen rapide erhöht. Fast täglich beobachtet die Melde- und Analysestelle Informationssicherung (Melani) solche Spam-Kampagnen, welche das Ziel haben, Computer von Bürgerinnen und Bürgern mit Schadsoftware (Malware) zu infizieren. Bei der Schadsoftware, welche über diesen Angriffsvektor verbreitet wird, handelt es sich üblicherweise um Locky (Ransomware) oder Dridex (eBanking Trojaner). Während die Schadsoftware Locky Dateien auf dem Computer des Opfers verschlüsselt und die Opfer danach erpresst, hat es Dridex auf die eBanking Konti von Schweizer Internet-Benutzern abgesehen. Derzeit stehen Kunden von mehreren Schweizer Banken im Visier von Dridex.
Um den Computer des Opfers zu infizieren, verwenden die Angreifer Makros. Aus Sicherheitsgründen hat Microsoft das Ausführen von unsignierten Makros standardmässig deaktiviert. Die Angreifer versuchen deshalb mit Social Engineering den Empfänger des Emails zu überzeugen, das Ausführen von Makros zu aktivieren (siehe Bild oben). Werden die Makros aktiviert, laden diese automatisch Schadcode aus dem Internet nach und infizieren den Computer mit Malware.
Für Unternehmen empfiehlt Melani folgende Massnahmen:
- Verwenden Sie für die Visierung von Zahlungen via eBanking eine Kollektivunterschrift (jede Zahlung muss somit von zwei verschiedenen eBanking Verträgen bzw. Logins genehmigt werden, was das Risiko einer betrügerischen Zahlung massiv reduziert). Sprechen Sie mit Ihrer Bank über die Verwendung von Kollektivverträgen.
- Verwenden Sie für eBanking einen dedizierten Computer, welchen Sie ausschliesslich für eBanking verwenden (kein Surfen, lesen von Emails etc.).
- Stellen Sie sicher, dass potenziell schädliche Email Anhänge bereits auf Ihrem Email-Gateway bzw. Spam-Filter blockiert bzw. gefiltert werden. Gefährliche Email Anhänge verwenden unter anderem folgende Dateieendungen:
.js (JavaScript)
.jar (Java)
.bat (Batch file)
.exe (Windows executable)
.cpl (Control Panel)
.scr (Screensaver)
.com (COM file)
.pif (Program Information File)
.vbs (Visual Basic Script)
.ps1 (Windows PowerShell)
- Stellen Sie sicher, dass solche gefährlichen E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie Beispielsweise ZIP, RAR oder aber auch in verschlüsselten Archiv-Dateien (z.B. in einem Passwortgeschützten ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
- Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word, Excel oder PowerPoint Anhänge, welche Makros enthalten).
Quelle: MELANI