Sie haben Fragen?
Das Security Intelligence Team von Microsoft warnt derzeit vor einer massiven Phishing-Kampagne, die PC-Nutzer dazu verleiten soll, manipulierte Excel 4.0-Makros auf ihren Rechnern auszuführen. Wer darauf reinfällt, installiert ein Remote Access Service Tool (RAS-Tool) auf seinem Computer. Das Fernwartungsprogramm verleiht dem Angreifer weitreichende Kontrolle über das betroffene Gerät. Hunderte dieser Excel-Dateien sollen aktuell im Umlauf sein und als E-Mail-Anhang verbreitet werden.
Thematisch greifen die Phishing-Mails das Thema auf, das die Welt derzeit bewegt, nämlich die COVID-19-Pandemie. Als Absender wird das renommierte Johns Hopkins Center angegeben, das Teil der Johns Hopkins University ist. Der Betreff lautet „WHO COVID-19 SITUATION REPORT“ und soll das Interesse der Empfänger wecken. Wer die E-Mail anklickt und versucht, die angehängten Excel-Dateien zu öffnen, erhält eine Sicherheitswarnung zum infizierten Makro. Wird die Ausführung erlaubt, wird im Hintergrund das Programm NetSupport Manager heruntergeladen und ausgeführt.
Dabei handelt es sich um ein völlig legitimes RAS-Tool, das jedoch bereits in der Vergangenheit immer wieder von Hackern missbraucht wurde. Über das Programm können die Angreifer nach der Installation Befehle auf dem infizierten Rechner ausführen und eine Verbindung zu einem Command-and-Control-Server herstellen, der wiederum weitere Befehle übermitteln kann.
Während die aktuelle Kampagne seit dem 12. Mai 2020 zu laufen scheint, warnt das Microsoft Security Team auf Twitter davor, dass in den vergangenen Monaten Angriffe mittels bösartiger Excel-4.0-Makros deutlich zugenommen haben. Insbesondere im April wurden mehrere derartige Kampagnen beobachtet, wie im neuen Fall unter Ausnutzung des Coronavirus als Köder. Auch in der aktuellen Kampagne scheinen zwar unterschiedliche Excel-Dateien im Umlauf zu sein, allerdings verbinden sie sich alle mit ein und derselben URL, um Nutzerdaten herunterzuladen. Daher ist davon auszugehen, dass zumindest dieser Beutezug auf eine einzelne Quelle zurückzuführen ist.
Neben der Warnung vor Phishing über Excel-4.0-Makros hat das Sicherheitsteam eine weitere Bedrohung öffentlich gemacht. Seit dem 18. Mai 2020 wird eine Kampagne zur Verbreitung des Banking-Trojaners TrickBot beobachtet, die per Mail einen persönlichen Coronavirus-Check versprechen. Auch diese Masche ist nicht neu und seit Beginn der Pandemie bei Kriminellen überaus beliebt.
Sich vor beiden Angriffsvarianten zu schützen ist eigentlich recht einfach: Anhänge von E-Mails von unbekannten Absendern sollten grundsätzlich Tabu sein, insbesondere wenn diese Makros enthalten oder um Bestätigungen bitten. Auch das Surfen ohne Admin-Rechte kann eine Infektion mit Malware verhindern.
Bild (c) Gerd Altmann / Pixabay
