Malware

Malware-Mails sind E-Mails, deren Inhalt darauf abzieht, den eigenen Rechner mit einem Schadprogramm zu infizieren. Die Zielsetzungen sind hierbei unterschiedlich und können zum Beispiel sein

Identitätsdiebstahl
Es werden Authentifizierungsdaten wie Nutzername und Passwort ausgelesen und an den Betreiber der Malware übermittelt. Eine häufige Form ist der "Banking-Trojaner", bei dem das Ziel Online-Banking-Zugänge sind.
Resourcenzugriff
Die Malware-Programme haben oft vollen Zugriff auf Ihren Rechner. Dies kann für Malware-Betreiber oder deren Kunden nützlich sein. So wird über die entsprechenden Systeme Spam versendet oder verfügbare Rechenzeit für das Mining von elektronischer Währung benutzt. Auch Kennungen für Webdienste sind von Interesse, da sich hierüber weitere Verteilungspunkte für die Malware ergeben.
Erpressung
Verschlüsselungstrojaner verschlüsseln lokale und/oder Netzwerkdateien und zeigen nach einem bestimmten Zeitraum eine Nachricht an, dass eine Entschlüsselung nur über Geldzahlung (oft Bitcoin) möglich ist.

 

Es gibt unterschiedliche Wege, wie die Schadsoftware aus der E-Mail auf den eigenen Rechner gelangen kann. Hierbei ist auch zu beachten, dass die böswilligen Versender ihre Methoden regelmäßig ändern.

  • Sehr perfide ist die Ausnutzung von Sicherheitslücken in Mailprogrammen (siehe z.B. Warnung des BSI vor Apple Mail). In besonderes kritischen Fällen ist hier bei das Einlesen der E-Mail durch das eigenen E-Mail-Programm für eine Infektion ausreichend. Diese Methode ist dahingehend sehr gefährlich, da die Infektion sich im ersten Moment nur durch einen plötzlichen Absturz des Mailprogramms oder auch gar nicht bemerkbar macht.
  • Auch eher selten ist die Schadsoftware direkt im Anhang von E-Mails. Die meisten dieser Nachrichten werden von den Virenscannern bereits vor der Zustellung aussortiert. Eher schwer zu fassen sind die Anhänge der Schadsoftware Emotet (siehe unten). Diese ist sehr variabel und versteckt sich oft in vermeintlich unauffälligen Dokumenten.

    Viele E-Mail-Anbieter sperren möglicherweise schädliche Dateiformate inzwischen auch ganz (u.a. auch Dataport als Dienstleister der Landesbehörden).
  • Gerne werden Links auf Schadsoftware-Downloads verteilt. Häufig handelt es sich um Links zu Cloud-Speichern (Google Drive, OneDrive, etc.) oder auf Seiten, mit alter, bzw. fehlerhafter Verwaltungssoftware (zumeist Wordpress).
  • Zur Umgehung von Virenscannern werden Schaddateien in verschlüsselte Archive verpackt. Das Passwort für die Entschlüsselung wird dann meist in der E-Mail selbst genannt. Da das Sicherheitsniveau derartiger Nachrichten Null ist, sollte bei solchen E-Mails immer von einem Angriffsversuch ausgegangen werden.

Einmal aktiviert, kann die Malware mit denselben Rechten agieren, wie auch der/die angemeldete Nutzer(in).

Emotet

In aller Munde ist in den letzten Jahren eine besondere Schadsoftware namens "Emotet". Dabei handelt es sich nicht um ein eindeutig identifizierbares Schad-Programm, sondern vielmehr um eine Klasse von sich immer wieder stark verändernden Schadprogrammen.

Das bisherige Haupt-Einfallstor von Emotet waren in der Vergangenheit Office-Dokumente mit aktivierten Makros. Beim Öffnen des Dokuments mit aktivierter Macro-Funktion wird die Schadsoftware aktiv. In diesem Fällen wird meist der "echte" Schadcode aus dem Internet nachgeladen. Hierbei kommen unterschiedliche Varianten ("Payloads") vor. Das betroffene Dokument kann sowohl als Anhang an einer E-Mail als auch Link in einer E-Mail auf eine gekaperte Seite ausgeliefert werden.

Klicken Sie die Sicherheitsabfrage in Office-Dokumenten nie einfach weg.

Emotet nutzt diverse Tricks, um die Zielperson zum Öffnen der Dokumente zu bewegen. Insbesondere wird bei befallenen Rechnern das Postfach ausgelesen. "Neue" Opfer erhalten dann Nachrichten, in denen aus alten E-Mails an das derzeitige Opfer zitiert wird. Teilweise werden sogar die Datei-Anhänge mitversendet. In einigen Fällen enthalten dann diese Dateianhänge wiederum Schadcode.

Sie erhalten dann z.b. eine "seltsame" Nachricht als Antwort auf eine alte E-Mail an Ihre(n) Kolleg*en Dies deutet dann darauf hin, dass der dortige Rechner befallen ist, Emotet dort das Postfach ausgelesen und die dort gefundene E-Mails "beantwortet" hat, um sich weiterzuverbreiten.

Emotet ist hier sehr perfide darin, weitere Opfer von der Legitimität der eigenen E-Mails zu überzeugen.

Wie schütze ich mich?

Der effektivste Schutz ist Wachsamkeit.

  • Halten Sie Ihr Betriebssystem und Ihre Programme aktuell. Softwarehersteller schließen regelmäßig Sicherheitslücken. Verwenden Sie keine veraltete Software, die vom Hersteller nicht mehr unterstützt wird. Kritische Sicherheitslücken werden in veralteter Software nicht mehr behoben.
  • Betrachten Sie Anhänge, insbesondere Office-Dateien grundsätzlich mit einer Portion Mißtrauen, auch wenn diese vermeintlich von vertrauenswürdigen Personen stammen.
  • Prüfen Sie die Echtheit von E-Mails.
  • Klicken Sie Sicherheitswarnungen von Office-Programmen nicht einfach weg. Aktivieren Sie die Bearbeitungsfunktion für erhaltene Dokumente bewusst und nur wenn nötig.