Makro-Malware: Perfide Schädlinge

Office Attacke Makro Viren
Anzeige

Beitrag teilen

Makro-Malware hat mit dem Aufkommen ausgefeilter Social-Engineering-Taktiken und der Popularität von Makroprogrammen ein Comeback erlebt. Für Cyberkriminelle sind vor allem Microsoft Office-Makros aufgrund der enorm großen MS-Office-Nutzerbasis ein attraktives Ziel.

Häufig nutzt Makro-Malware die VBA-Programmierung (Visual Basic for Applications) in Microsoft Office-Makros, um Viren, Würmer und andere Formen von Schadware zu verbreiten, und stellt damit ein erhebliches Risiko für die Unternehmenssicherheit dar.

Anzeige

Funktionsweise von Makro-Malware

Ein Makro (kurz für „macroinstruction“, wörtlich etwa „Groß-Befehl“ vom griechischen makros: „groß“) ist eine Kette von Befehlen, die Anwendungen wie Excel und Word anweisen, bestimmte Aktionen auszuführen. Makros bündeln mehrere kleinere Instruktionen in einem Befehl und lassen diese gemeinsam ablaufen. Dadurch wird die Funktionalität der Anwendung verbessert, indem wiederkehrende Abläufe beschleunigt werden.

Da es sich bei Makros um Programme handelt, können sie wie jedes andere Programm potenziell von Malware-Autoren kompromittiert werden. Makroviren sind in derselben Makrosprache geschrieben, die auch für Softwareprogramme, einschließlich Microsoft Word oder Excel, verwendet wird. Für einen Makro-Malware-Angriff erstellen Cyberkriminelle häufig bösartigen Code und bettet diesen in Makros von Dokumenten ein, die als Anhänge in Phishing-E-Mails verbreitet werden. Sobald das Opfer den Anhang öffnet, können die darin enthaltenen Makros ausgeführt werden, und die Malware beginnt alle Dateien zu infizieren, die mit Microsoft Office geöffnet werden. Diese Fähigkeit, sich rasch zu verbreiten, ist eine der Hauptrisiken von Makro-Malware.

Anzeige

Best Practices zum Schutz vor Makro-Malware

Makroviren können schädliche Funktionen aufrufen, beispielsweise die Veränderung des Inhalts von Textdokumenten oder die Löschung von Dateien. Die Schadsoftware Emotet nutzt zudem häufig Makros, um sich Zugang zum Netzwerk zu verschaffen. Im nächsten Schritt lädt sie zusätzliche Module wie Banking-Trojaner, Password-Stealer oder Ransomware nach. Manche Makroviren greifen auch auf E-Mail-Konten des Opfers zu und senden Kopien der infizierten Dateien an alle Kontakte, die wiederum diese Dateien häufig öffnen, da sie von einer vertrauenswürdigen Quelle stammen.

Werden Makros in einer Microsoft Office-Datei nicht ausgeführt, kann die Malware das Gerät nicht infizieren. Die größte Herausforderung bei der Vermeidung von Makro-Malware-Infektionen liegt in der richtigen Identifizierung von Phishing-E-Mails. Bei folgenden Punkten ist Vorsicht geboten:

  • E-Mails von unbekannten Absendern
  • E-Mails mit Rechnungen oder angeblich vertraulichen Informationen im Anhang
  • Dokumente, die eine Vorschau bieten, bevor Makros aktiviert werden
  • Dokumente, deren Makroprozesse verdächtig aussehen

Der beste Weg, die Bedrohung durch Makro-Malware zu eliminieren, ist die Reduzierung der Interaktion zwischen Malware und einem Gerät. Unternehmen sollten eine Kombination aus den folgenden Techniken nutzen, um ihre Verteidigung gegen Makro-Malware-Angriffe zu stärken.

Bedrohung durch Makro-Malware eliminieren

1. Verwendung eines Spam/Junk-Filters sowie Phishing-Schutzes

Je weniger Phishing-E-Mails den Posteingang erreichen, desto geringer ist die Wahrscheinlichkeit eines Makro-Malware-Angriffs. Neben dem klassischen Spam-Filter gibt es spezielle Phishing-Schutz-Technologien, die auf Basis von Machine-Learning auch ausgefeilte Spear-Phishing-Angriffe erkennen können. Diese Lösungen erlernen das normale Kommunikationsverhalten innerhalb eines Unternehmens und schlagen bei Anomalien Alarm.

2. Verwendung eines starken Antivirenprogramms

Antivirensoftware kann eine Warnmeldung senden, wenn ein Benutzer versucht, einen bösartigen Link zu öffnen oder eine verdächtige Datei herunterzuladen.

3. Anhänge von unbekannten Absendern

Wenn Nutzer den Absender einer E-Mail nicht kennen, sollten sie keine Anhänge öffnen, auch wenn die E-Mail auf persönliche Informationen verweist oder behauptet, es handle sich um eine unbezahlte Rechnung.

4. Anhänge in verdächtigen E-Mails bekannter Absender

Durch die Umkehrung des Codes der bösartigen Datei können Sicherheitsexperten verschlüsselte Daten decodieren, die durch das Sample gespeichert wurden, die Logik der Datei-Domain bestimmen sowie andere Fähigkeiten der Datei anzeigen lassen, die während der Verhaltensanalyse nicht angezeigt wurden. Um den Code manuell umzukehren, werden Malware-Analyse-Tools wie Debugger und Disassembler benötigt.

5. Prüfung vor Ausführung, welche Prozesse ein Makro steuert

Wenn der Makrobefehl bösartige Aktionen auszuführen scheint, sollten keine Makros aktiviert werden. Da viele Nutzer zwar mit dem Begriff Makro-Malware vertraut sind, aber eventuell nicht wissen, wie sie diese identifizieren können, sollten Unternehmen zudem ihre Mitarbeiter durch regelmäßige Schulungen aufklären, wie sie mögliche Bedrohungen, insbesondere im Bereich Social Engineering, erkennen können. Ein erhöhtes Nutzerbewusstsein über die Gefahren von Makroviren trägt dazu bei, die Unternehmenssicherheit maßgeblich zu stärken und erfolgreiche Makro-Malware-Angriffe zu minimieren.

Christoph M. Kumpa

 

Passende Artikel zum Thema

IT-Security-Teams geben Antwort zur Corporate Security

Eine Umfrage unter 500 Mitarbeitern in IT-Security-Teams zeigt, dass die Corporate Security in Sachen Schutzmaßnahmen der gestiegener Bedrohungslage hinterher hinkt. ➡ Weiterlesen

Proaktiv planen: Leitfaden zur Reaktion auf Security-Vorfälle

In einer Umgebung mit ständig zunehmenden und gezielteren Cyberbedrohungen ist jede Organisation gefährdet. Sophos liefert einen Leitfaden zur proaktiven Planung ➡ Weiterlesen

Cyber Threat Report zeigt neue Taktiken bei Cyber-Gangs

Der Bedrohungsbericht zeigt signifikante Veränderungen bei Ransomware-Gangs und Malware-Kampagnen auf. Im Cyber Threat Report von Deep Instinct gibt es Hinweise ➡ Weiterlesen

Domain Shadowing – DNS-Kompromittierung für Cyberkriminalität

Cyberkriminelle kompromittieren Domainnamen, um die Eigentümer oder Benutzer der Domain direkt anzugreifen oder sie für verschiedene ruchlose Unternehmungen wie Phishing, ➡ Weiterlesen

IoT: Sind SASE und Zero Trust der Schlüssel?

Sind SASE und Zero Trust der Schlüssel für die sichere IoT-Umsetzung in Produktionsumgebungen? Während sich produzierende Unternehmen kopfüber in Smart-Factory-Initiativen ➡ Weiterlesen

Studie: Unternehmen nicht fit gegen Cybersecurity-Bedrohungen

Deutsche Unternehmen sind nur unzureichend in der Lage, ihre sensiblen Informationen vor Verlust und Missbrauch zu schützen. Das ist eines ➡ Weiterlesen

Phishing-Tests: Geschäftsbezogene E-Mails als Gefahr

Ergebnisse eines großen Phishing-Tests zeigen einen Trend zu geschäftsbezogenen E-Mails. KnowBe4 veröffentlicht den globalen Phishing-Bericht für Q3 2022 und stellt fest, ➡ Weiterlesen

Studie IT-Sicherheit: Fehlende Fachkräfte als Herausforderung

Laut einer Studie in Führungsebenen in D-A-CH ist die Verfügbarkeit von Fachkräften die größte Herausforderung – in Österreich gilt dies ➡ Weiterlesen