Malware

Malware-Mails sind E-Mails, deren Inhalt darauf abzieht, den eigenen Rechner mit einem Schadprogramm zu infizieren. Die Zielsetzungen sind hierbei unterschiedlich und können zum Beispiel sein

Identitätsdiebstahl
Es werden Authentifizierungsdaten wie Nutzername und Passwort ausgelesen und an den Betreiber der Malware übermittelt. Eine häufige Form ist der "Banking-Trojaner", bei dem das Ziel Online-Banking-Zugänge sind.
Resourcenzugriff
Die Malware-Programme haben oft vollen Zugriff auf Ihren Rechner. Dies kann für Malware-Betreiber oder deren Kunden nützlich sein. So wird über die entsprechenden Systeme Spam versendet oder verfügbare Rechenzeit für das Mining von elektronischer Währung benutzt. Auch Kennungen für Webdienste sind von Interesse, da sich hierüber weitere Verteilungspunkte für die Malware ergeben.
Erpressung
Verschlüsselungstrojaner verschlüsseln lokale und/oder Netzwerkdateien und zeigen nach einem bestimmten Zeitraum eine Nachricht an, dass eine Entschlüsselung nur über Geldzahlung (oft Bitcoin) möglich ist.

 

Es gibt unterschiedliche Wege, wie die Schadsoftware aus der E-Mail auf den eigenen Rechner gelangen kann. Hierbei ist auch zu beachten, dass die böswilligen Versender ihre Methoden regelmäßig ändern.

  • Sehr perfide ist die Ausnutzung von Sicherheitslücken in Mailprogrammen (siehe z.B. Warnung des BSI vor Apple Mail). In besonderes kritischen Fällen ist hier bei das Einlesen der E-Mail durch das eigenen E-Mail-Programm für eine Infektion ausreichend. Diese Methode ist dahingehend sehr gefährlich, da die Infektion sich im ersten Moment nur durch einen plötzlichen Absturz des Mailprogramms oder auch gar nicht bemerkbar macht.
  • Auch eher selten ist die Schadsoftware direkt im Anhang von E-Mails. Die meisten dieser Nachrichten werden von den Virenscannern bereits vor der Zustellung aussortiert. Eher schwer zu fassen sind die Anhänge der Schadsoftware Emotet (siehe unten). Diese ist sehr variabel und versteckt sich oft in vermeintlich unauffälligen Dokumenten.

    Viele E-Mail-Anbieter sperren möglicherweise schädliche Dateiformate inzwischen auch ganz (u.a. auch Dataport als Dienstleister der Landesbehörden).
  • Gerne werden Links auf Schadsoftware-Downloads verteilt. Häufig handelt es sich um Links zu Cloud-Speichern (Google Drive, OneDrive, etc.) oder auf Seiten, mit alter, bzw. fehlerhafter Verwaltungssoftware (zumeist Wordpress).
  • Zur Umgehung von Virenscannern werden Schaddateien in verschlüsselte Archive verpackt. Das Passwort für die Entschlüsselung wird dann meist in der E-Mail selbst genannt. Da das Sicherheitsniveau derartiger Nachrichten Null ist, sollte bei solchen E-Mails immer von einem Angriffsversuch ausgegangen werden.
  • Aktuell gibt es auch die Variante, dass ein PDF-Anhang verschickt wird. Das PDF enthält dann ein Formular mit einem Link zu einer verschlüsselten .ZIP-Datei, die dann wiederrum die Schadsoftware enthält.

Einmal aktiviert, kann die Malware mit denselben Rechten agieren, wie auch der/die angemeldete Nutzer(in).

Emotet/Qakbot/etc.

In aller Munde ist in den letzten Jahren eine besondere Schadsoftware namens "Emotet". Dabei handelt es sich nicht um ein eindeutig identifizierbares Schad-Programm, sondern vielmehr um eine Klasse von sich immer wieder stark verändernden Schadprogrammen.

Obwohl die Emotet-Infrastruktur selbst bereits von den Behörden deaktiviert wurde, gibt es viele Nachfolge-Schadsoftware, die weiterhin aktiv ist und eine große Bedrohung darstellt. Die Gefahr ist also keineswegs gebannt, sondern besteht unverändert weiter. Mit "Emotet" sind im nachfolgenden also auch alle Emotet-Nachfolgeprogramme gemeint, die nach demselben Schema vorgehen.

Das bisherige Haupt-Einfallstor von Emotet sind Office-Dokumente mit automatisch ausgeführten Makros.

  • Achten Sie auf vermeintliche Antworten auf ältere E-Mails, insbesondere auf ältere Rundmails. Emotet liest auf betroffenen Rechnern das Postfach aus und antwortet auf dort enthaltene E-Mails. Die Original-E-Mail wird zitiert, um den Anscheint einer echten Antwort zu erwecken. Die E-Mail kommt dabei nicht vom Empfänger der ursprünglichen E-Mail.
  • Von der Nutzung von Office-Dokumente in den "alten" Office-Formaten (.doc, .xls, ...) ist generell abzuraten. Verwenden Sie nach Möglichkeit die neuen Formate (.docx, .xlsx). Weisen Sie den Absender gerne darauf hin, bitte die neuen Formate zu verwenden.
  • Auch neuen Formate können Macros enthalten, dabei ändert sich dabei die Dateiendung (.docm, .xlsm). Öffnen Sie diese nur, wenn unbedingt notwendig und nach sorgfältiger Prüfung.
  • Lassen Sie sich Office-Dokumente, die sie nicht selbst editieren müssen, im Zweifelsfall in einem anderen Format (.PDF hat sich üblicherweise bewährt) zusenden.
  • Sendet Ihnen jemand unaufgefordert eine verschlüsselte Archivdatei zu, sollten Sie wachsam sein. Insbesondere, wenn das Passwort für die Archivdatei in der E-Mail genannt wird, ist praktisch sichergestellt, dass damit nur der Virenscanner umgangen werden soll. Öffnen Sie solche Dokumente am besten gar nicht.

 

Beim Öffnen des Dokuments mit aktivierter Macro-Funktion wird die Schadsoftware aktiv. In diesem Fällen wird meist der "echte" Schadcode aus dem Internet nachgeladen. Hierbei kommen unterschiedliche Varianten ("Payloads") vor. Das betroffene Dokument kann sowohl als Anhang an einer E-Mail als auch Link in einer E-Mail auf eine gekaperte Seite ausgeliefert werden.

Klicken Sie die Sicherheitsabfrage in Office-Dokumenten nie einfach weg.

Emotet nutzt diverse Tricks, um die Zielperson zum Öffnen der Dokumente zu bewegen. Insbesondere wird bei befallenen Rechnern das Postfach ausgelesen. "Neue" Opfer erhalten dann Nachrichten, in denen aus alten E-Mails an das derzeitige Opfer zitiert wird. Teilweise werden sogar die Datei-Anhänge mitversendet. In einigen Fällen enthalten dann diese Dateianhänge wiederum Schadcode.

Sie erhalten dann z.B. eine "seltsame" Nachricht als Antwort auf eine alte E-Mail an Ihre(n) Kolleg*en Dies deutet dann darauf hin, dass der dortige Rechner befallen ist, Emotet dort das Postfach ausgelesen und die dort gefundene E-Mails "beantwortet" hat, um sich weiterzuverbreiten.

Emotet ist hier sehr perfide darin, weitere Opfer von der Legitimität der eigenen E-Mails zu überzeugen.

Wie schütze ich mich?

Der effektivste Schutz ist Wachsamkeit.

  • Halten Sie Ihr Betriebssystem und Ihre Programme aktuell. Softwarehersteller schließen regelmäßig Sicherheitslücken. Verwenden Sie keine veraltete Software, die vom Hersteller nicht mehr unterstützt wird. Kritische Sicherheitslücken werden in veralteter Software nicht mehr behoben.
  • Betrachten Sie Anhänge, insbesondere Office-Dateien grundsätzlich mit einer Portion Mißtrauen, auch wenn diese vermeintlich von vertrauenswürdigen Personen stammen.
  • Prüfen Sie die Echtheit von E-Mails.
  • Klicken Sie Sicherheitswarnungen von Office-Programmen nicht einfach weg. Aktivieren Sie die Bearbeitungsfunktion für erhaltene Dokumente bewusst und nur wenn nötig.
  • Sollten Sie eine verdächte Mail erhalten haben, leiten Sie diese ggf. als Anhang an spamreport@rz.uni-kiel.de weiter. Bitte verwenden Sie nicht die einfache Weiterleitung, da hierbei wichtige Informationen aus der Nachricht verloren gehen.