Security-Tipp

Microsoft hat bereits 2001 in seinen Office XP-Produkten die Sicherheitsrichtlinie eingeführt, die erstmals den Anwender per Routine abfragte, ob eingebetteter Code in Dokumenten ausgeführt werden soll oder nicht. Das sorgte dafür, dass diese Angriffe nur noch schwer durchführbar waren und andere Verbreitungspfade weitaus lukrativer wurden. Eine von Microsoft veröffentlichte Studie im ersten Quartal 2015 zeigt mittlerweile jedoch, dass eine Wiedergeburt der Makroviren stattgefunden hat. Mehr als 500.000 Systeme konnten über Spam-E-Mails verbreitete Malware den Informationen nach innerhalb kürzester Zeit infiziert werden.

Versteckt in Office-Dateien

Ein Makrovirus ist Schadcode, der nicht als eigenständiges und ausführbares Programm vorliegt, sondern als Makro in ein Dokument eingebettet ist. Ein Makro kann bestimmte Vorgänge automatisiert durchführen und wird dafür genutzt, um schädliche Aktionen wie die Installation weiteren Schadcodes auszuführen. Dateien, die ein Makrovirus enthalten und über E-Mails verteilt werden, sind in der Regel so aufgebaut, dass sie dem Empfänger unverdächtig erscheinen. So öffnen die meisten Anwender üblicherweise Rechnungen, Mahnungen oder Bewerbungsunterlagen, ohne groß nachzudenken.

Nun sind Makros in den Standardeinstellungen deaktiviert. Daher enthalten viele dieser Dokumente Schritt-für-Schritt-Anleitungen zur Freigabe von Makros. Ansonsten, so wird dem Empfänger dann beispielsweise vorgetäuscht, lasse sich das Dokument nicht öffnen beziehungsweise lesen. Das Opfer wird also dazu verleitet, die Ausführung von Makros zu erlauben. Hinzu kommt, dass das Interesse der Opfer mit gezieltem Social Engineering geweckt wird und so zielgerichtete Angriffe auf große Personenkreise und Unternehmen stattfinden – Stichwort: »Gehaltsliste Vorstand.xlsx« oder »Konferenzagenda.xlsx« .

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.