Phishing-Falle: Wie eine harmlose Excel-Datei deinen PC gefährden kann
Mit einer besonders perfiden Masche wollen sich Betrüger aktuell Zugang zu sensiblen Daten von Windows-Nutzern verschaffen. Sie versuchen Schadsoftware auf den Systemen ihrer Opfer zu installieren, die sich mit Hilfe einer bekannten Schwachstelle von Office auf dem Computer einnistet.
Dafür verschicken die Kriminellen eine E-Mail, die eine manipulierte Microsoft Excel-Datei enthält, wie das Technikportal Techradar berichtet. Wird die Datei geöffnet, installiert sich unbemerkt im Hintergrund Malware, die in mehreren Stufen arbeitet.
Schadsoftware kommt mit einer Bestellbestätigung
Wie das auf Internet-Sicherheit spezialisierte Unternehmen Fortinet herausfand, kommt die Malware zusammen mit einer harmlos wirkenden Bestellbestätigung auf den Rechner. Wer die im Anhang enthaltene Datei öffnet, bekommt eine herkömmliche Excel-Übersicht angezeigt, während sich im Hintergrund die Schadsoftware installiert.
Dabei nutzt das Programm eine bekannte Sicherheitslücke von Office aus, die als Remote-Code CVE-2017-0199 bekannt ist. Mit Hilfe dieses Remote-Codes, der eigentlich dazu gedacht ist, mit Office und WordPad gestaltete Dateien zu analysieren, wird laut der Sicherheitsexperten eine HTML-Anwendungsdatei (HTA) heruntergeladen und auf dem Zielgerät über mshta.exe ausgeführt.
Da es sich bei mshta.exe um eine bekannte Anwendungsdatei handelt, wird sie von herkömmlichen Analyse-Tools nicht als schädlich erkannt.
Vollständige Fernsteuerung eines Computers möglich
In einem weiteren Schritt lädt die Malware das Programm Remcos RAT herunter, dass es den Betrügern ermöglicht, auf alle Daten und Vorgänge des Rechners zuzugreifen. Ursprünglich wurde Remcos als kommerzielle Software entwickelt, um legitime Verwaltungsaufgaben auf Computern zu ermöglichen, für die eine Fernsteuerung nötig ist.
Laut der Sicherheitsexperten wurde das Programm von den Cyberkriminellen für ihre Zwecke umprogrammiert, damit es unentdeckt bleibt. „Anstatt die Remcos-Datei in einer lokalen Datei zu speichern und auszuführen, wird Remcos direkt im Speicher des aktuellen Prozesses bereitgestellt“, erklärt Fortinet. „Mit anderen Worten, es ist eine dateilose Variante von Remcos.“
Wie man sich schützen kann
Um sich vor diesem und ähnlichen Angriffen zu schützen, gilt es, beim Lesen von E-Mails immer aufmerksam zu sein und Anhänge nicht gedankenlos zu öffnen. Spam-E-Mails sollten grundsätzlich am besten ungeöffnet in den Spam-Ordner verschoben werden.