Warnung - schädliche Office-Dokumente im Umlauf

In den vergangenen Wochen ist eine Vielzahl von Meldungen bei der Melde- und Analysestelle Informationssicherung MELANI über schädliche Microsoft Office-Dokumente eingegangen, welche via Email verbreitet werden und das Ziel haben, den Computer des Opfers mit Schadsoftware (Malware) zu infizieren....

Die Zahl von Spam-Kampagnen, welche schädliche Microsoft Office-Dokumente verbreiten (erkennbar an den Dateiendungen .doc, .docx, .xls, .xlsx, .ppt und .pptx), hat sich in den vergangenen Wochen rapide erhöht. Fast täglich beobachtet die Melde- und Analysestelle Informationssicherung MELANI solche Spam-Kampagnen, welche das Ziel haben, Computer von Bürgerinnen und Bürgern mit Schadsoftware (Malware) zu infizieren.

Bei der Schadsoftware, welche über diesen Angriffsvektor verbreitet wird, handelt es sich üblicherweise um Locky (Ransomware) oder Dridex (eBanking Trojaner). Während die Schadsoftware Locky Dateien auf dem Computer des Opfers verschlüsselt und die Opfer danach erpresst, hat es Dridex auf die eBanking Konti von Schweizer Internet-Benutzern abgesehen. Derzeit stehen Kunden von mehreren Schweizer Banken im Visier von Dridex.

Um den Computer des Opfers zu infizieren, verwenden die Angreifer Makros. Aus Sicherheitsgründen hat Microsoft das Ausführen von unsignierten Makros standardmässig deaktiviert. Die Angreifer versuchen deshalb mit Social Engineering den Empfänger des Emails zu überzeugen, das Ausführen von Makros zu aktivieren (siehe Bild oben). Werden die Makros aktiviert, laden diese automatisch Schadcode aus dem Internet nach und infizieren den Computer mit Malware.

Privaten Internetnutzerinnen und -Nutzern empfiehlt MELANI:

• Seien Sie vorsichtig im Umgang mit Microsoft Office-Dokumenten (Word, Excel, PowerPoint). Öffnen Sie keine Office-Dokumente von unbekannten oder verdächtigen Absendern. Im Zweifelsfall fragen Sie beim Absender des EMails telefonisch nach, bevor Sie einen Anhang öffnen.
• Führen Sie niemals Makros in Office-Dokumenten aus, welche Ihnen via Email zugesendet werden. Auch dann nicht, wenn Sie dazu aufgefordert werden. Makros können Ihrem Computer schaden! (Siehe Bild oben).
• Seien Sie generell skeptisch gegenüber unerwarteten Emails (z.B. Rechnungen, Bestellungen etc.) oder Emails von unbekannten Absendern. Im Zweifelsfall fragen Sie beim Absender des EMails telefonisch nach, bevor Sie einen Anhang öffnen.
• Verwenden Sie stets einen aktuellen Virenschutz. Falls Sie einen kostenpflichtigen Virenschutz verwenden, stellen Sie sicher, dass Sie das Abonnement jeweils wieder für ein zusätzliches Jahr verlängern. Ansonsten wird der Virenschutz nutzlos.
• Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie sollte offline, das heisst auf einem externen Medium wie beispielsweise einer externen Festplatte gespeichert werden. Stellen Sie daher sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer trennen.

Für Unternehmen empfiehlt MELANI folgende Massnahmen:

• Verwenden Sie für die Visierung von Zahlungen via eBanking eine Kollektivunterschrift (jede Zahlung muss somit von zwei verschiedenen eBanking Verträgen bzw. Logins genehmigt werden, was das Risiko einer betrügerischen Zahlung massiv reduziert). Sprechen Sie mit Ihrer Bank über die Verwendung von Kollektivverträgen.
• Verwenden Sie für eBanking einen dedizierten Computer, welchen Sie ausschliesslich für eBanking verwenden (kein Surfen, lesen von Emails etc.).
• Stellen Sie sicher, dass potenziell schädliche Email Anhänge bereits auf Ihrem Email-Gateway bzw. Spam-Filter blockiert bzw. gefiltert werden. Gefährliche Email Anhänge verwenden unter anderem folgende Dateieendungen:
  • .js (JavaScript)
  • .jar (Java)
  • .bat (Batch file)
  • .exe (Windows executable)
  • .cpl (Control Panel)
  • .scr (Screensaver)
  • .com (COM file)
  • .pif (Program Information File)
  • .vbs (Visual Basic Script)
  • .ps1 (Windows PowerShell)
• Stellen Sie sicher, dass solche gefährlichen E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie Beispielsweise ZIP, RAR oder aber auch in verschlüsselten Archiv-Dateien (z.B. in einem Passwortgeschützten ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
• Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word, Excel oder PowerPoint Anhänge, welche Makros enthalten).

Weitere Massnahmen und Empfehlungen:

• Umgang mit Verschlüsselungstrojanern (für Privatanwender und Unternehmen): https://www.melani.admin.ch/ransomware
• Merkblatt IT-Sicherheit für KMUs: https://www.melani.admin.ch/it-sicherheit-fuer-kmus
• Blogpost GovCERT.ch https://www.govcert.admin.ch/blog/23/dridex-targeting-swiss-internet-users