Wieder vermehrt E-Mails mit schädlichen Office-Dokumenten im Umlauf

Service navigation

Suche

Navigation

Wieder vermehrt E-Mails mit schädlichen Office-Dokumenten im Umlauf

20.01.2022 - Für die Verbreitung von Malware werden wieder vermehrt E-Mails mit schädlichen Microsoft Office-Dokumenten eingesetzt. Ist ein Computer einmal infiziert, haben Betrüger unbemerkten Zugang auf das ganze Netzwerk. Helfen Sie mit, solche Cyberangriffe zu bekämpfen und melden Sie verdächtige E-Mails dem NCSC auf antiphishing.ch.

Auch im Cyberraum sind die ruhigen Tage um den Jahreswechsel definitiv vorbei: Seit dem 10. Januar 2022 verzeichnet das NCSC wieder eine massive Zunahme von Meldungen zu schädlichen Microsoft Office-Dokumenten, welche via E-Mail an zahlreiche Empfängerinnen und Empfänger in der Schweiz versendet werden. Teilweise wird dabei auch eine vom Empfänger zuvor getätigte E-Mail-Kommunikation wiederverwendet. Dies mit dem Ziel, das Vertrauen der Empfängerinnen und Empfänger zu gewinnen und diese zu einer unvorsichtigen Handlung zu bringen («Social Engineering»). Gelingt dies, öffnet das Opfer den Anhang in der E-Mail und die Schadsoftware kann sich auf dem Computer unbemerkt einnisten. Dabei stehen nicht nur Privatanwender im Fokus der Cyberkriminellen: Vor allem Unternehmen sind ein lukratives Ziel für solche Angriffe. Ist ein Unternehmensnetzwerk erst einmal infiltriert, lässt sich der ergaunerte Zugang zu diesem Netzwerk im Dark Web für viel Geld weiterverkaufen. Organisierte Hackerbanden kaufen solche Zugänge, um beispielsweise Daten der betroffenen Unternehmen mittels eines Verschlüsselungstrojaners (sogenannter «Ransomware») zu verschlüsseln. Für die Entschlüsselung werden meist hohe Lösegelder gefordert.

So wird Malware in ein Netzwerk eingeschleust

Um Malware zu verbreiten und in Unternehmensnetzwerke einzudringen nutzen viele Angreifer bei den E-Mails insbesondere die Anhänge Word und Excel. Da sehr oft mit solchen Dokumenten gearbeitet wird, ist der Empfang einer E-Mail mit diesen angehängten Office-Dokumenten nichts Ungewöhnliches und die Empfängerinnen und Empfänger ahnen nichts Böses. Was viele hingegen nicht wissen: Von Office-Dokumenten geht eine grosse Gefahr aus. Mittels einem sogenannten «Makro» - einem bestimmten Programmcode, welcher sich einfach in ein Dokument einbetten lässt - kann die Schadsoftware (sogenannte «Malware») per E-Mail verbreitet und der Code ausgeführt werden. Wird die Ausführung von «Makro»-Programmcode durch den Benutzenden erlaubt, so wird das Gerät des Opfers ohne dessen Wissen mit Malware infiziert. Die Betrüger erhalten so unbemerkt Zugang zum infizierten Computer und können sich lateral im Unternehmensnetzwerk fortbewegen, um z. B. weitere Computer oder das ganze Netzwerk zu infizieren.

Office-Dokumente sind daher das Einfallstor für eine Vielzahl von gefährlichen Malware-Familien, darunter Schadsoftware mit den Namen «Qakbot» (auch bekannt als «Qbot»), «Dridex», «TrickBot» und «Emotet». Die folgende Grafik zeigt die Anzahl Schadsoftware (Malware Samples), welche das NCSC seit Mitte Dezember der Malware-Familie «Emotet» zuordnen konnte. Klar ersichtlich sind die beiden grosse Spam-Wellen kurz vor Weihnachten 2021 sowie in Kalenderwoche 2 dieses Jahres, über welche im grossen Stil «Emotet» verteilt wurden.

Anzahl detektierter Dateien, welche «Emotet» zugeordnet werden konnten.
Anzahl detektierter Dateien, welche «Emotet» zugeordnet werden konnten.

Tipps um sich vor Schadsoftware zu schützen

Damit ein «Marko» Programm-Code von Office ausgeführt wird, wird in der Regel das Einverständnis des Benutzers benötigt. Im folgenden Beispiel versuchen die Angreifer dies unter dem Vorwand, es stehe ein Office Update zur Verfügung, weshalb der «Inhalt» aktiviert werden müsse. In Tat und Wahrheit wird dabei aber «Emotet» aus dem Internet heruntergeladen und das System des Opfers infiziert.

Beispiel eines schädlichen Word-Dokuments
Beispiel eines schädlichen Word-Dokuments

Der beste Schutz vor solchen Angriffen ist also, keine «Makros» auszuführen, auch wenn man explizit und mit Nachdruck dazu aufgefordert wird. Im Zweifelsfalle sollte immer zuerst die IT-Abteilung informiert oder noch einmal beim Absender der E-Mail nachgehackt werden. Zudem empfiehlt das NCSC den Unternehmen, die Ausführung von Makros durch die Mitarbeitenden technisch komplett zu unterbinden und diese nur in begründeten Einzelfällen zu erlauben.

Melden Sie verdächtige E-Mails

Melden Sie verdächtige Mails (Phishing oder Malware) ans NCSC unter: antiphishing.ch.
Sind sie nicht sicher, um was es sich handelt, oder wünschen Sie Feedback, benutzen Sie das NCSC-Meldeformular.
Ihre Meldung trägt unter anderem zu einem besseren Cyberlagebild bei und erlaubt es dem NCSC, falls nötig, geeignete Abwehrmassnahmen einzuleiten.

Frühere News-Beiträge:

Erfolgreiche Ransomware-Angriffe auf Schweizer Unternehmen

Verschlüsselungstrojaner greifen vermehrt gezielt Unternehmensnetzwerke an

Update Verschlüsselungs-Trojaner: Neue Vorgehensweise

Vorsicht: Weiterhin erhöhtes Sicherheitsrisiko durch Ransomware gegen KMUs

Letzte Änderung 20.01.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/vorsicht_e-mails.html