Anzeige

Malware

Makro-Malware hat mit dem Aufkommen ausgefeilter Social-Engineering-Taktiken und der Popularität von Makroprogrammen ein Comeback erlebt. Für Cyberkriminelle sind vor allem Microsoft Office-Makros aufgrund der enorm großen MS-Office-Nutzerbasis ein attraktives Ziel.

Häufig nutzt Makro-Malware die VBA-Programmierung (Visual Basic for Applications) in Microsoft Office-Makros, um Viren, Würmer und andere Formen von Schadware zu verbreiten, und stellt damit ein erhebliches Risiko für die Unternehmenssicherheit dar.

Funktionsweise von Makro-Malware

Ein Makro (kurz für „macroinstruction“, wörtlich etwa „Groß-Befehl“ vom griechischen makros: „groß“) ist eine Kette von Befehlen, die Anwendungen wie Excel und Word anweisen, bestimmte Aktionen auszuführen. Makros bündeln mehrere kleinere Instruktionen in einem Befehl und lassen diese gemeinsam ablaufen. Dadurch wird die Funktionalität der Anwendung verbessert, indem wiederkehrende Abläufe beschleunigt werden.

Da es sich bei Makros um Programme handelt, können sie wie jedes andere Programm potenziell von Malware-Autoren kompromittiert werden. Makroviren sind in derselben Makrosprache geschrieben, die auch für Softwareprogramme, einschließlich Microsoft Word oder Excel, verwendet wird. Für einen Makro-Malware-Angriff erstellen Cyberkriminelle häufig bösartigen Code und bettet diesen in Makros von Dokumenten ein, die als Anhänge in Phishing-E-Mails verbreitet werden. Sobald das Opfer den Anhang öffnet, können die darin enthaltenen Makros ausgeführt werden, und die Malware beginnt alle Dateien zu infizieren, die mit Microsoft Office geöffnet werden. Diese Fähigkeit, sich rasch zu verbreiten, ist eine der Hauptrisiken von Makro-Malware.

Makroviren können schädliche Funktionen aufrufen, beispielsweise die Veränderung des Inhalts von Textdokumenten oder die Löschung von Dateien. Die Schadsoftware Emotet nutzt zudem häufig Makros, um sich Zugang zum Netzwerk zu verschaffen. Im nächsten Schritt lädt sie zusätzliche Module wie Banking-Trojaner, Password-Stealer oder Ransomware nach. Manche Makroviren greifen auch auf E-Mail-Konten des Opfers zu und senden Kopien der infizierten Dateien an alle Kontakte, die wiederum diese Dateien häufig öffnen, da sie von einer vertrauenswürdigen Quelle stammen.

Best Practices zum Schutz vor Makro-Malware

Werden Makros in einer Microsoft Office-Datei nicht ausgeführt, kann die Malware das Gerät nicht infizieren. Die größte Herausforderung bei der Vermeidung von Makro-Malware-Infektionen liegt in der richtigen Identifizierung von Phishing-E-Mails. Bei folgenden Punkten ist Vorsicht geboten:

  • E-Mails von unbekannten Absendern
  • E-Mails mit Rechnungen oder angeblich vertraulichen Informationen im Anhang
  • Dokumente, die eine Vorschau bieten, bevor Makros aktiviert werden
  • Dokumente, deren Makroprozesse verdächtig aussehen

Der beste Weg, die Bedrohung durch Makro-Malware zu eliminieren, ist die Reduzierung der Interaktion zwischen Malware und einem Gerät. Unternehmen sollten eine Kombination aus den folgenden Techniken nutzen, um ihre Verteidigung gegen Makro-Malware-Angriffe zu stärken:

1. Verwendung eines Spam/Junk-Filters sowie Phishing-Schutzes: Je weniger Phishing-E-Mails den Posteingang erreichen, desto geringer ist die Wahrscheinlichkeit eines Makro-Malware-Angriffs. Neben dem klassischen Spam-Filter gibt es spezielle Phishing-Schutz-Technologien, die auf Basis von Machine-Learning auch ausgefeilte Spear-Phishing-Angriffe erkennen können. Diese Lösungen erlernen das normale Kommunikationsverhalten innerhalb eines Unternehmens und schlagen bei Anomalien Alarm.

2. Verwendung eines starken Antivirenprogramms: Antivirensoftware kann eine Warnmeldung senden, wenn ein Benutzer versucht, einen bösartigen Link zu öffnen oder eine verdächtige Datei herunterzuladen.

3. Anhänge von unbekannten Absendern: Wenn Nutzer den Absender einer E-Mail nicht kennen, sollten sie keine Anhänge öffnen, auch wenn die E-Mail auf persönliche Informationen verweist oder behauptet, es handle sich um eine unbezahlte Rechnung.

4. Anhänge in verdächtigen E-Mails bekannter Absender: Durch die Umkehrung des Codes der bösartigen Datei können Sicherheitsexperten verschlüsselte Daten decodieren, die durch das Sample gespeichert wurden, die Logik der Datei-Domain bestimmen sowie andere Fähigkeiten der Datei anzeigen lassen, die während der Verhaltensanalyse nicht angezeigt wurden. Um den Code manuell umzukehren, werden Malware-Analyse-Tools wie Debugger und Disassembler benötigt.

5. Prüfung vor Ausführung, welche Prozesse ein Makro steuert. Wenn der Makrobefehl bösartige Aktionen auszuführen scheint, sollten keine Makros aktiviert werden.

Da viele Nutzer zwar mit dem Begriff Makro-Malware vertraut sind, aber eventuell nicht wissen, wie sie diese identifizieren können, sollten Unternehmen zudem ihre Mitarbeiter durch regelmäßige Schulungen aufklären, wie sie mögliche Bedrohungen, insbesondere im Bereich Social Engineering, erkennen können. Ein erhöhtes Nutzerbewusstsein über die Gefahren von Makroviren trägt dazu bei, die Unternehmenssicherheit maßgeblich zu stärken und erfolgreiche Makro-Malware-Angriffe zu minimieren.

Christoph M. Kumpa, Director DACH & EE
Christoph M. Kumpa
Director DACH & EE, Digital Guardian

Artikel zu diesem Thema

Nov 26, 2020

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die…
Hacker Coronavirus
Nov 25, 2020

Der digitale Virus: Unterschätztes Phishing-Mail-Risiko

79 Prozent der deutschen Büroangestellten öffnen bedenkenlos E-Mails von unbekannten…

Weitere Artikel

Ransomware

Ransomware: Zahl der Angriffe erneut gestiegen

Nach heftigen Angriffen zu Beginn des Jahres (Stichwort: Solar Winds) zeigt sich auch im Q2 2021 kein Abschwächen in Sachen Ransomware. Im Gegenteil: Die Bedrohungslandschaft hat sich verschärft und die Gruppen neu profiliert.
Hackerangriff

Kampf gegen Cybercrime: Stärkere Regulierung von Kryptowährungen

Aufgrund der steigenden Anzahl krimineller Aktivitäten im Cyberraum – z.B. Geldwäsche, Finanzierung von Terrorismus etc. – hat die EU-Kommission jüngst eine Reihe von Gesetzesvorschlägen herausgegeben, die Transaktionen mittels Kryptowährungen wie Bitcoin…
Hackerangriff

Chinesische Angreifer attackieren Telkos mit dem Ziel umfassender Cyberspionage

Cybereason, Unternehmen beim betriebszentrierten Schutz vor Cyberangriffen, ist es gelungen, verschiedene bislang nicht anderweitig identifizierte Cyberangriffe aufzudecken, die große Telekommunikationsanbieter in ganz Südostasien infiltrieren.
Gesundheitswesen IT

Neun Schwachstellen in Rohrpost-Software von Swisslog Healthcare

Sicherheitsforscher von Armis, dem Anbieter einer Unified Asset Visibility- und Sicherheitsplattform, geben die Entdeckung von neun kritischen Schwachstellen in der Nexus Control Panel-Software bekannt, die alle aktuellen Modelle der TransLogic Pneumatic…
Hacker

Hacker werden raffinierter und teilen sich Computer Vision-Tools

HP Inc. veröffentlicht mit dem neuen globalen „Threat Insights Report“ eine Analyse von realen Cybersecurity-Angriffen und Schwachstellen. Die Studie zeigt: Cybercrime-Aktivitäten nehmen rasant zu und werden immer raffinierter.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.