Gefährliche Phishing-Kampagne: Manipulierte Excel-Dateien als Einfallstor für Schadsoftware

Eine neue Welle von Cyberkriminalität bedroht Excel-Nutzer: Geschickt getarnte Phishing-E-Mails verbreiten manipulierte Excel-Dateien, um unbemerkt Schadsoftware auf den betroffenen Systemen zu installieren. Diese Attacken sind nicht nur raffiniert, sondern auch äußerst gefährlich – vor allem, wenn sie mit bekannten Schwachstellen in Microsoft Office kombiniert werden.

Wie funktioniert der Angriff?

Die Angriffe beginnen mit einer Phishing-E-Mail, die sich als harmlose Nachricht ausgibt, etwa als Bestellbestätigung oder als dringende Benachrichtigung. Im Anhang befindet sich eine vermeintlich harmlose Excel-Datei, die jedoch manipulierten Code enthält. Sobald der Empfänger die Datei öffnet, wird die Schwachstelle CVE-2017-0199 ausgenutzt, um eine HTML-Anwendung über das Windows-Tool mshta.exe herunterzuladen und auszuführen.

Dies ermöglicht den Angreifern, Schadcode im Hintergrund auszuführen, ohne dass klassische Sicherheitsmaßnahmen wie Virenscanner den Angriff direkt erkennen. Dieser erste Schritt dient als Grundlage für einen mehrstufigen Angriff, der letztlich zur Installation eines gefährlichen Trojaners führt.

Der Remcos-Trojaner: Ein unsichtbarer Angreifer

Der finale Schritt dieser Cyberangriffe ist das Einschleusen des sogenannten Remcos Remote Access Trojaners (RAT). Ursprünglich als legitime Fernwartungssoftware entwickelt, wird Remcos heute überwiegend für bösartige Zwecke missbraucht. Seine Funktionen umfassen:

• Spionage: Zugriff auf Kamera und Mikrofon.
• Datendiebstahl: Abfangen von Passwörtern, Finanzdaten und sensiblen Informationen.
• Manipulation: Übernahme von Benutzerkonten und Systemsteuerung.

Besonders problematisch ist, dass die aktuelle Variante des Remcos-Trojaners ohne klassische Dateien auskommt. Er wird direkt in den Arbeitsspeicher geladen und von dort ausgeführt. Dies erschwert die Erkennung durch Sicherheitssoftware erheblich, da keine Spuren im Dateisystem hinterlassen werden.

Warum Excel-Dateien?

Infizierte Excel-Dateien sind ein beliebter Weg, Schadsoftware zu verbreiten. Sie bieten den Angreifern mehrere Vorteile:

• Vertrauensvorschuss: Excel-Dateien werden oft im beruflichen Kontext geöffnet.
• Automatisierungsmöglichkeiten: Über Makros und andere Automatisierungsfunktionen können Schadprogramme leicht integriert und ausgeführt werden.
• Weite Verbreitung: Microsoft Office-Dokumente sind weltweit im Einsatz und bieten so ein breites Angriffsfeld.

Wie können Sie sich schützen?

Um sich vor diesen gefährlichen Angriffen zu schützen, sollten Sie folgende Maßnahmen beachten:

1. Misstrauen Sie verdächtigen E-Mails:
   • Öffnen Sie keine Anhänge aus unbekannten Quellen.
   • Achten Sie auf ungewöhnliche Formulierungen oder E-Mail-Adressen, die nicht zur angeblichen Absenderorganisation passen.
2. Makros deaktivieren:
   • Aktivieren Sie Makros nur, wenn Sie der Quelle der Datei absolut vertrauen.
   • Stellen Sie sicher, dass Makros in den Office-Einstellungen standardmäßig deaktiviert sind.
3. Aktualisieren Sie Ihre Software:
   • Halten Sie Microsoft Office und Ihr Betriebssystem auf dem neuesten Stand.
   • Sicherheitsupdates schließen bekannte Schwachstellen wie CVE-2017-0199.
4. Verwenden Sie professionelle Sicherheitssoftware:
   • Installieren Sie eine Antivirensoftware, die auch fortschrittliche Bedrohungen erkennt.
   • Nutzen Sie Firewall- und Spamfilter-Lösungen, um Angriffe im Vorfeld zu blockieren.

Fazit

Manipulierte Excel-Dateien bleiben eine ernsthafte Bedrohung, insbesondere durch die Verbreitung über Phishing-E-Mails. Die Nutzung von Schwachstellen und das Einschleusen von Schadsoftware wie dem Remcos-Trojaner zeigen, wie wichtig es ist, wachsam zu sein. Mit der richtigen Vorsicht und aktuellen Sicherheitsmaßnahmen können Sie jedoch einen Großteil dieser Angriffe effektiv abwehren.

Bleiben Sie informiert, um sich und Ihre Daten zu schützen – denn Cyberkriminalität macht vor niemandem Halt.