Makro-Malware: Perfide Schädlinge

Office Attacke Makro Viren

Beitrag teilen

Makro-Malware hat mit dem Aufkommen ausgefeilter Social-Engineering-Taktiken und der Popularität von Makroprogrammen ein Comeback erlebt. Für Cyberkriminelle sind vor allem Microsoft Office-Makros aufgrund der enorm großen MS-Office-Nutzerbasis ein attraktives Ziel.

Häufig nutzt Makro-Malware die VBA-Programmierung (Visual Basic for Applications) in Microsoft Office-Makros, um Viren, Würmer und andere Formen von Schadware zu verbreiten, und stellt damit ein erhebliches Risiko für die Unternehmenssicherheit dar.

Anzeige

Funktionsweise von Makro-Malware

Ein Makro (kurz für „macroinstruction“, wörtlich etwa „Groß-Befehl“ vom griechischen makros: „groß“) ist eine Kette von Befehlen, die Anwendungen wie Excel und Word anweisen, bestimmte Aktionen auszuführen. Makros bündeln mehrere kleinere Instruktionen in einem Befehl und lassen diese gemeinsam ablaufen. Dadurch wird die Funktionalität der Anwendung verbessert, indem wiederkehrende Abläufe beschleunigt werden.

Da es sich bei Makros um Programme handelt, können sie wie jedes andere Programm potenziell von Malware-Autoren kompromittiert werden. Makroviren sind in derselben Makrosprache geschrieben, die auch für Softwareprogramme, einschließlich Microsoft Word oder Excel, verwendet wird. Für einen Makro-Malware-Angriff erstellen Cyberkriminelle häufig bösartigen Code und bettet diesen in Makros von Dokumenten ein, die als Anhänge in Phishing-E-Mails verbreitet werden. Sobald das Opfer den Anhang öffnet, können die darin enthaltenen Makros ausgeführt werden, und die Malware beginnt alle Dateien zu infizieren, die mit Microsoft Office geöffnet werden. Diese Fähigkeit, sich rasch zu verbreiten, ist eine der Hauptrisiken von Makro-Malware.

Best Practices zum Schutz vor Makro-Malware

Makroviren können schädliche Funktionen aufrufen, beispielsweise die Veränderung des Inhalts von Textdokumenten oder die Löschung von Dateien. Die Schadsoftware Emotet nutzt zudem häufig Makros, um sich Zugang zum Netzwerk zu verschaffen. Im nächsten Schritt lädt sie zusätzliche Module wie Banking-Trojaner, Password-Stealer oder Ransomware nach. Manche Makroviren greifen auch auf E-Mail-Konten des Opfers zu und senden Kopien der infizierten Dateien an alle Kontakte, die wiederum diese Dateien häufig öffnen, da sie von einer vertrauenswürdigen Quelle stammen.

Werden Makros in einer Microsoft Office-Datei nicht ausgeführt, kann die Malware das Gerät nicht infizieren. Die größte Herausforderung bei der Vermeidung von Makro-Malware-Infektionen liegt in der richtigen Identifizierung von Phishing-E-Mails. Bei folgenden Punkten ist Vorsicht geboten:

  • E-Mails von unbekannten Absendern
  • E-Mails mit Rechnungen oder angeblich vertraulichen Informationen im Anhang
  • Dokumente, die eine Vorschau bieten, bevor Makros aktiviert werden
  • Dokumente, deren Makroprozesse verdächtig aussehen

Der beste Weg, die Bedrohung durch Makro-Malware zu eliminieren, ist die Reduzierung der Interaktion zwischen Malware und einem Gerät. Unternehmen sollten eine Kombination aus den folgenden Techniken nutzen, um ihre Verteidigung gegen Makro-Malware-Angriffe zu stärken.

Bedrohung durch Makro-Malware eliminieren

1. Verwendung eines Spam/Junk-Filters sowie Phishing-Schutzes

Je weniger Phishing-E-Mails den Posteingang erreichen, desto geringer ist die Wahrscheinlichkeit eines Makro-Malware-Angriffs. Neben dem klassischen Spam-Filter gibt es spezielle Phishing-Schutz-Technologien, die auf Basis von Machine-Learning auch ausgefeilte Spear-Phishing-Angriffe erkennen können. Diese Lösungen erlernen das normale Kommunikationsverhalten innerhalb eines Unternehmens und schlagen bei Anomalien Alarm.

2. Verwendung eines starken Antivirenprogramms

Antivirensoftware kann eine Warnmeldung senden, wenn ein Benutzer versucht, einen bösartigen Link zu öffnen oder eine verdächtige Datei herunterzuladen.

3. Anhänge von unbekannten Absendern

Wenn Nutzer den Absender einer E-Mail nicht kennen, sollten sie keine Anhänge öffnen, auch wenn die E-Mail auf persönliche Informationen verweist oder behauptet, es handle sich um eine unbezahlte Rechnung.

4. Anhänge in verdächtigen E-Mails bekannter Absender

Durch die Umkehrung des Codes der bösartigen Datei können Sicherheitsexperten verschlüsselte Daten decodieren, die durch das Sample gespeichert wurden, die Logik der Datei-Domain bestimmen sowie andere Fähigkeiten der Datei anzeigen lassen, die während der Verhaltensanalyse nicht angezeigt wurden. Um den Code manuell umzukehren, werden Malware-Analyse-Tools wie Debugger und Disassembler benötigt.

5. Prüfung vor Ausführung, welche Prozesse ein Makro steuert

Wenn der Makrobefehl bösartige Aktionen auszuführen scheint, sollten keine Makros aktiviert werden. Da viele Nutzer zwar mit dem Begriff Makro-Malware vertraut sind, aber eventuell nicht wissen, wie sie diese identifizieren können, sollten Unternehmen zudem ihre Mitarbeiter durch regelmäßige Schulungen aufklären, wie sie mögliche Bedrohungen, insbesondere im Bereich Social Engineering, erkennen können. Ein erhöhtes Nutzerbewusstsein über die Gefahren von Makroviren trägt dazu bei, die Unternehmenssicherheit maßgeblich zu stärken und erfolgreiche Makro-Malware-Angriffe zu minimieren.

[starbox id=6]

 

Passende Artikel zum Thema

Global Threat Report 2024: Deswegen haben Angreifer Erfolg

Relativ leicht können Angreifer grundlegende Sicherheitseinstellungen leicht ausnutzen, das zeigt der Global Threat Report 2024 von Elastic. Standardisierte offensive Sicherheitstools und unzureichend ➡ Weiterlesen

APT41 hat mit DodgeBox und Moonwalk aufgerüstet

Analysten des Zscaler ThreatLabs haben die neuesten Entwicklungen der chinesischen Gruppierung APT41/Earth Baku unter die Lupe genommen. Dabei haben sie ➡ Weiterlesen

Report: Fertigungsbranche im Visier von Cyberkriminellen

Laut Threat Intelligence Report haben im ersten Halbjahr 2024 insbesondere Cyberattacken auf die Fertigungsbranche und den Industriesektor zugenommen. Der Report ➡ Weiterlesen

Ransomware-Studie: Vier-Jahres-Hoch im Gesundheitswesen

In seinem Report „The State of Ransomware in Healthcare 2024“ veröffentlicht Sophos seine aktuellen Ergebnisse über die steigenden Angriffe auf ➡ Weiterlesen

Ransomware-Angriffe: Der lange Leidensweg

Ransomware-Angriffe haben verheerende Folgen für Unternehmen. Sie dauern nur kurze Zeit, aber die Wiederherstellung kann sich über Monate hinziehen. Das ➡ Weiterlesen

Fertigung: Opfer von Credential-Harvesting-Angriffen

Cyberkriminelle haben es auf die Microsoft-Anmeldedaten von US-amerikanischen und kanadischen Fertigungsunternehmen abgesehen. Ein Anbieter von Cybersicherheitslösungen hat die Angriffe aufgedeckt ➡ Weiterlesen

Tipps zum Schutz vor CEO-Fraud und Deepfake-Angriffen

Deepfake-Angriffe nehmen rasant zu und werden immer besser. Besonders gefährlich ist es für Unternehmen, wenn ein Deepfake die Stimme und ➡ Weiterlesen

Fehlende Strategien gegen technologisch fundierte Cyber-Angriffe

Viele Unternehmen haben oft keine Strategie gegen raffinierte Cyber-Attacken. 83 Prozent der Unternehmen haben nach einer Umfrage keine umfassende Strategien gegen ➡ Weiterlesen