Weltweit gehäufte Emotet-Angriffe mit Makro-Viren

28.07.2020 | Aktuelle Meldungen, Aktuelle Meldungen
Die Schadsoftware Emotet, auch als „Trojaner-König“ [1] bezeichnet, „gilt als eine der größten Bedrohungen durch Schadsoftware weltweit und verursacht auch in Deutschland aktuell hohe Schäden“ [2]. Angreifende versuchen dabei, Nutzende zum Aktivieren sog. Makro-Viren zu verleiten. Wurden diese erst einmal ausgeführt, lassen sich (teils sehr gravierende) Schäden kaum mehr aufhalten.

Was sind Makro-Viren und wie funktionieren sie?

Als Makro-Viren („Makros“) bezeichnet die Informationstechnologie eine Reihe von Befehlen und Hintergrundprozessen, die in einem Aufruf ausgeführt werden können. [3] Aktivieren Sie ein Makro, wird also eine Reihe an (Hintergrund-)Prozessen auf Ihrem Gerät gestartet. Das kann sinnvoll sein, um Prozesse zu automatisieren, die sonst einer Vielzahl manueller Tastaturanschläge und Mausklicks bedürfen. Gleichzeitig birgt diese Funktionsweise aber auch ein nicht zu unterschätzendes Risiko: Führen Sie – eventuell sogar unbemerkt – Makros aus, können Sie weder genau nachvollziehen noch beeinflussen, welche Prozesse Sie damit auslösen. Dies eröffnet eine effektive Angriffsmöglichkeit für Angreifende. Zerstörerische Makros können so etwa im Verborgenen Änderungen an Ihrem Gerät vornehmen, selbstständig weitere Schadsoftware nachladen, unbemerkt Zugang zu Ihren Daten erhalten und in einigen Fällen sogar die vollständige Kontrolle über das betroffene System erlangen – und das „mit nur einem Klick“ Ihrerseits!

Was ist Emotet und warum ist es gefährlich?

Emotet-Angreifende wollen Nutzende zum Ausführen derartiger schadhafter Makros verleiten. [4] Dafür versenden sie Makros in geschickt getarnten Phishing-Mails mit gefälschtem, teils täuschend echt erscheinendem Inhalt (genaueres zum Thema Phishing finden Sie hier).
In der Regel werden schadhafte Makros in URLs im Text der Phishing-Mail oder in Office-Dokumenten (also z. B. in Word-Dateien) als Anhang verbreitet. Für Nutzende sind Makros dabei oftmals nicht direkt als solche erkennbar. Sie können beispielsweise in einer vermeintlichen Fehler-Meldung versteckt sein – wie in der Mitteilung, eine Datei könne nicht geöffnet werden, da sie im Apple-Betriebssystem iOS erstellt worden sei. Durch eine Bestätigung innerhalb dieser Fehlermeldung aktivieren Sie unbemerkt das enthaltene Makro.

Wie kann ich meine Organisation und mich vor Emotet- und Makro-Viren-Angriffen schützen?

Auch Sie können mit Beachtung ein paar einfacher Vorsichtsmaßnahmen einen wichtigen Teil dazu beitragen, die Gefahr solcher Angriffe zu minimieren:

  • Öffnen Sie nur Anhänge Ihnen bekannter Absender
  • Seien Sie besonders aufmerksam, wenn Office-Programme zusätzliche Bestätigung von Ihnen verlangen, um ein Dokument anzeigen zu können
  • Falls nicht bereits voreingestellt: Deaktivieren Sie Makros standardmäßig und aktivieren Sie diese nur im Einzelfall (eine Anleitung dazu finden Sie hier)
  • Wenn Sie den Verdacht haben, eine Phishing-E-Mail (egal ob mit oder ohne Anhang / URL) erhalten zu haben, melden Sie sich bitte umgehend beim ITSC-Helpdesk.

Weiterführende Informationen

Weiterführende Informationen zu den Themen Emotet und Makro-Viren finden Sie unter anderem hier:

Quellen:

[1] Wedekind, Klaus: „Trojaner-König“ Emotet ist wieder da, online veröffentlicht unter: www.n-tv.de/technik/Trojaner-Koenig-Emotet-ist-wieder-da-article21921894.html, zuletzt besucht am 22. Juli 2020.
[2] BSI (Hrsg.): Aktuelle Information zur Schadsoftware Emotet, online veröffentlicht unter: www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html, zuletzt besucht am 22. Juli 2020.
[3] Westernhagen, Olivia v.: Feind aus dem Word-Dokument, online veröffentlicht unter: www.heise.de/select/ct/2017/5/1488204649932494,  zuletzt besucht am 22. Juli 2020, dort auch zum folgenden Text.
[4] BSI (Hrsg.): Informationspool. Emotet, online veröffentlicht unter: www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Themen/Emotet/emotet.html, zuletzt besucht am 22. Juli 2020, dort auch zum folgenden Text.