Neue Masche: Virenangriffe per Makro-Viren-Mail?

Kurze Information zu einem Sicherheitsthema, auf das mich ein Blog-Leser aufmerksam gemacht hat. Ihm wurden Mails mit Makro-Viren zugeschickt.

Blog-Leser Michael T. erhielt eine Mail mit einem Makro-Virus und schrieb mir Mitte Januar 2019 dazu folgenden Text:

Heute erreichte uns eine Email die von unserem GFI geblockt wurde. Grund dafür sind: Makros im Email-Text.

Ist das 1. mal das mir so etwas untergekommen ist..

Kein Anhang mit Schädlingen oder nette links zu Upload Portalen.. nein Makros im Email Text…

Michael hat noch folgenden Screenshot per Mail mitgeschickt und fragt ‘Haben Sie dies schon Mal gesehen?’.

Mail mit Makro-Virus
(Zum Vergrößern klicken)

Mir ist eine solche Mail bewusst nicht untergekommen – aber durch den Drang, HTML-Mails im Browsermodul des Mail-Clients oder bei Online-HTML-Mail-Postfächern, die im Browser angezeigt werden, würde so ein Angriffsvektor schon Sinn machen.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

34 Antworten zu Neue Masche: Virenangriffe per Makro-Viren-Mail?

  1. Sam sagt:

    Und, hast Du sowas schon mal gesehen oder davon gehört?

    Wobei ich mich frage was Macros im E-Mail-Text tun sollten – E-Mail-Programme sind normal nicht Macro-Fähig. Man könnte sie selber abtippen und starten :)
    Ich vermute eher, dass da auch eine Datei mit drin war. Oder sein sollte, und der Dateianhang durch einen Fehler nur als Text erkannt wurde (und damit harmlos ist).

    • Günter Born sagt:

      Mir ist noch nichts dergleichen untergekommen – aber ich bin nicht der Regelfall.

    • Mich@ sagt:

      Es waren keine Daten im Anhang. Die Mail war komplett leer.
      Außer der Mail-Text.

      „…– E-Mail-Programme sind normal nicht Macro-Fähig.“ das ist so nicht ganz richtig. Das Ausführen wurde durch ein Update ausgeschaltet.
      Dennoch ist es möglich es per reg.edit zu aktivieren.
      Ist bei mir jetzt nicht der Fall – Aber User die das Feature genutzt hatten und es vermissen werden es wahrscheinlich wieder aktivieren..

    • Theo sagt:

      Es gibt teilweise in Mailprogrammen die Option den eMail Textinhalte als HTML oder als Rich Text (Outlook) zu formatieren. In diesem Fall kann im „Text“ etwas versteckt werden. Ob dies dann ausgeführt wird, ist eine Frage der Systemrichtlinien. Also am besten eingehenden eMails zwangsweise als „Text“ formatieren. Dabei gehen allerdings Bilder, Farben, Verlinkungen usw. verloren…

  2. 1ST1 sagt:

    Bilder bei imgur zu hosten ist doof, denn die sind hier aus Sicherheitsgründen im Proxy gesperrt, keine Chance… Schade.

  3. Ralph D. Kärner sagt:

    Wir kriegen hier in schönster Regelmäßigkeit Bewerbungen per Email, die im Anhang ein Word-Dokument mit sich führen. Und diese Word-Dokumente haben Macros, deren einziger Sinn und Zweck es ist, den Zielrechner zu verseuchen. Das ist hier also absolut nichts neues.

    • Theo sagt:

      Ist das nicht ein anderer Fall, da es sich vermutlich um eine mitgeschickte Anlage handeln dürfte? Interessant wäre allerdings zu wissen, ob eine Vorschau in der eMail (ohne öffnen der Anlage) bereits Makros ausführt. Bitte testen!! ;-)

      • Ralph D. Kärner sagt:

        Getestet. Allerdings ist das Ergebnis ohne Belang. Es gibt in diesem Unternehmen kein Outlook. Und auch keinen Exchange Server oder sowas. Deshalb passiert auch zu keiner Zeit etwas. Aber das ist ja das hier gewollte Ergebnis.

    • Roland Moser sagt:

      Das E-Mail im Blog-Text hatte keinen Anhang. Das Makro war im E-Mail selbst versteckt.

    • MartinP sagt:

      Kleiner Microsoft-Hasser?

      Was hätte denn ein Exchanger-Server, der E-Mails nur weiterleitet und Postfächer bereitstellt, mit einem Front-End zu tun?

      Dann nehmen Sie doch Lotus Notes, falls Ihnen Microsoft nicht passt.

  4. acvolker sagt:

    Interessant in diesem Zusammenhang ist, wie unterschiedlich Antiviren-Programme getestet werden. So kam Kaspersky bei PC-Welt als Testsieger hervor – und die gleiche Version von Kaspersky kam bei Computerbild auf den letzten Platz. Dabei war bei beiden Zeitschriften das Institut AV-Test involviert. Schon sehr seltsam.

    • Herr IngoW sagt:

      Kommt sicher immer drauf an wer am meisten bezahlt, der wird gewinnen.

      • Mich@ sagt:

        ach Quark.. ist doch bestimmt alles transparent… ordentlich & mit sicherheit TÜV-DSGVO & Chip geprüft! Alles andere sind FakeNews ;)

        btw. der GFI prüft mit 5 verschiendenen Antivirenlösungen nach Inhalten.

    • Martin sagt:

      Computer Bild hat von AV Test und AV Comparatives testen lassen. Das PC Magazin, nicht die PC Welt, hat nur von AV Test testen lassen und das Fazit des PC Magazins ist völliger Unsinn. Kaspersky hat wegen der guten Ausstattung gewonnen, nicht wegen der Scanergebnisse! Schaut man sich die Auswertungstabelle an, kommt Kaspersky beim Virenwächter auf Platz 5 und beim Festplattenscan auf Platz 6, in der Performance auf Platz 5 und bei Fehlalarmen auf Platz 3!

      Auch hier kommt der Auswertungstabelle nach Bitdefender auf Platz 1!

      Vorurteilsfrei muss man sagen, dass die Computer Bild hier deutlich besser testet und auswertet. Die wissen um ihren wohl zu unrecht schlechten Ruf und versuchen hier keine Angriffsfläche zu bieten.

      • acvolker sagt:

        Kurze Anmerkung: Es war doch der Test in PC-Welt 3/2019 ab S. 78, den ich gemeint habe. Dieser war umfangreich und bezog sich nicht nur auf die Ausstattung. Hier hatte z.B. Kaspersky den besten Virenschutz (zusammen mit Bitdefender, Norton und McAfee). Bis auf einen Fehlalarm hatte Kaspersky alle Schädlinge gefunden!

  5. Andrénalin sagt:

    Es sieht so aus, als ob als Mailclient MS Outlook verwendet wird. Ist das richtig?
    Wie sieht die Nachricht aus, wenn man „Original anzeigen“ aktiviert (also die komplette Nachricht als „NurText“)?

  6. Andrénalin sagt:

    Was für ein Format hat die Email? „Plain Text“ oder „HTML“?

    Bitdefender hat die Email als „potentiell schädlich“ eingestuft. Interessant wäre, welche Merkmale eine Email aufweisen muss, um diese Meldung zu generieren. Vielleicht kann Michael (der offensichtlich einen laufenden Service-Vertrag mit Bitdefender hat) mal bei der Firma anfragen?

    Wie sieht die Nachricht aus, wenn man sie als „Original anzeigen“ lässt (also nur als Text)?

    PS. Habe eben schon mal eine Antwort geschrieben, weiß aber nicht, ob meine generelle Browser-Einstellung „Java aus“, sie gefressen hat. ;-)

  7. Mich@ sagt:

    ja, genutzt wird Outlok 2016 als Mailclient. Auffällige und schadhafte Mails werden allerdings vom GFI geblockt bevor sie die Empfänger erreichen. Dann wird sie manuell gelöscht. Ich kann verifizieren das die mail keinen Anhang hatte. HTML kann ich ausschließen, sonst hätte eine andere Regel gegriffen welche die Mail vorerst in Quarantäne setzt.

    • Andrénalin sagt:

      Wenn die Mail nicht in HTML-Format zugestellt wurde, müsste das Makro sich im reinen Text „verstecken“, was mich zieeeemlich beeindrucken würde.

      Spätestens beim Anzeigen lassen der Email im „Nur-Text-Modus“ (ich weiß nicht wie der bei deinem Client heißt), muss der Inhalt des Makros lesbar auftauchen.

      –> „Muss auftauchen“ –> da kein HTML verwendet wird. Daher kann die Mail auch keine Inhalte nachladen.

      Was mir sonst noch einfällt: Könnte Bitdefender im Email-Text enthaltene Links verfolgen und bei einem schädlichen Ziel, die Email aussortieren? Beispielsweise ein Link in der Art: „www.unsinnigerdomainname.de/virus.exe“

      • Mich@ sagt:

        „…Links verfolgen und bei einem schädlichen Ziel, die Email aussortieren?“ <-Guter Ansatz, aber das kann ich aus Erfahrungen ausschließen!
        Ich bin ebenfalls fasziniert.. echt schade das ich die Mail nicht mehr habe.. Nächstes mal werde ich sie ins lab bringen und basteln (wenn es die Zeit mal zulässt..)

  8. Dekre sagt:

    Ich habe im Outlook generell das Herunterladen von Bildern ausgeschaltet. Bekomme ich ein E-Mail, was ich nicht als koscher empfinde, so gebe ich es in den Junk-Ordner. Dort werden alle Nachrichten in Nur-Text -Format angezeigt. Heute musste ich es in einem besonderen E-Mail auch machen.

    Man kann auch die Anhänge so ausschalten, dass man nicht sieht, das Anhänge mitkommen. Das kann ich aber nicht machen, weil ich dann nicht sehe, ob mir Geschäftspartner PDF-Dateien etc als Anhänge senden.

    Grüße

  9. Bolko sagt:

    Eventuell ein Unicode-Exploit.
    Ein Smartphone mit iOS konnte man auch zum Absturz bringen, indem man ein indisches Zeichen im Unicode hinschickte.
    Outlook könnte ebenfalls einen ähnlichen Bug haben, wo irgend ein Unicode den Text-Parser abstürzen lässt und dann die nachfolgenden Zeichen als Code statt als Text ausführt.

  10. Tom sagt:

    Oder es ist schlicht was beim Erstellen schief gelaufen? Interessant wäre, was im Mail Header stünde? Allenfalls wurde der Content beim Absender schon gescanned?

  11. Andrénalin sagt:

    Mich@, könntest Du – um unsere Neugier zu befriedigen – mal bei Bitdefender anfragen, welche Erkennungs-Routine bei der Meldung „BitDefender erkannt macros im E-Mail-Text“ angesprungen ist?

    • Mich@ sagt:

      Moin.. sorry für die Verspätung.. ich werde mich heute kümmern und kontakt diesbezüglich zu GFI & Bit defender aufbauen. Neuigkeiten werde ich dann unten als Kommentar zufügen

  12. Andrénalin sagt:

    Nebenbei: Kann man Kommentare zu Posts, die man kommentiert hat, irgendwie abonieren?

  13. Mich@ sagt:

    Ich hatte bei GFI ein Ticket aufgemacht bezüglich der Mail, weil ich wissen wollte was die Engine scant und alamiert wenn es sich nicht um einen html Text handelt und die Mail keine sonstigen Anhänge enthält. Leider konnte mir GFI keine weiteren Informationen geben.
    Bitdefender konnte ich bis dato nicht erreichen. Die Hotline im VK konnte mir dazu nichts sagen und bat mich ein support case zu eröffnen. Weil es sich um ein unterstütztes Programm handelt und nicht irgendeine Internet Security fehlt dort die Auswahl und mein Ticket wird nun brav von einer Abteilung zur nächsten geschoben…

    • Dekre sagt:

      Bin ja mal gespannt, ob sich dann Bitdenfender korrekt meldet. Das geht nämlich des öfteren verloren oder die Leute setzten es einfach auf erledigt oder drücken auf den Knopf für ein vorgefasstes E-Mail mit sinngemäßen Text „Sie haben sich nicht mehr gemeldet, wir schließen dass den Fall“.

      Habe nämlich gerade Probleme mit Paragon, was sich weigert den Code zu liefern. Wer Wörterbucher von Pons hat, die werden alle von Paragon gemacht. Die dortige Hotline ist aber witzigerweise bei Haufe/Lexware.

      • Mich@ sagt:

        mit paragon hatte ich ebenfalls letztens probleme..
        War aber mein Fehler! Im Portal sieht man die Lizenz. wenn diese bereits auf einem Client aktiviert wurde kannste diese nicht mehr woanders installieren.. und das war mein Fehler. Ich musste erstmal die Lizenz auf dem anderen Client freigeben (geht auch über das Portal) dann kann man die Lizenz erneut nutzen/installieren.
        Vielleicht hilft dir das?!

    • Andrénalin sagt:

      Erfahrungsgemäß geht (traurigerweise) bei vielen Dienstleistern erst dann eine rote Lampe an, wenn man den Service-Vertrag kündigt.

      Also will man eine befriedigende Antwort: Kündigung schreiben, kurzen Hinweis auf den betreffenden Support-Call dazuschreiben, rüberfaxen und 2-3 Tage köcheln lassen…

      Überraschend oft kommt da eine Lösung für das eigentliche Problem + eine Preisermäßigung für die nächsten 6 Monate bei raus.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert