{"id":209414,"date":"2018-09-17T16:18:41","date_gmt":"2018-09-17T14:18:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=209414"},"modified":"2020-02-19T23:05:46","modified_gmt":"2020-02-19T22:05:46","slug":"warnung-von-lokibot-spam-kampagne-17-september-2018","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/09\/17\/warnung-von-lokibot-spam-kampagne-17-september-2018\/","title":{"rendered":"Warnung von Lokibot-Spam-Kampagne (17. September 2018)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Kurze Warnung an Windows-Nutzer. Aktuell scheint wohl eine SPAM-Mail-Kampagne zu laufen, bei der die Lokibot-Malware \u00fcber Office-Anh\u00e4nge verteilt wird. <\/p>\n<p><!--more--><\/p>\n<p>Ich bin die Nacht \u00fcber Twitter auf dieser britischen Webseite auf die Warnung gesto\u00dfen. Die Malware-Kampagne nutzt die Sicherheitsl\u00fccke CVE-2017-11882 (Schwachstelle im Formeleditor) aus, um die Malware zu verbreiten. Eigentlich wurde diese Schwachstelle l\u00e4ngt (vor einem Jahr) von Microsoft durch Office-Updates geschlossen. Aber es scheint immer noch Nutzer ohne die betreffenden Updates zu geben. Auch Angriffe \u00fcber diese Schwachstelle sind nicht neu (siehe Linkliste am Artikelende). Die aktuellen SPAM-Mails kommen wohl vorgeblich von DHL (z.<\/p>\n<blockquote>\n<p>DHL Express Arrival Notices<\/p>\n<p>Dear Customer <\/p>\n<p><strong>Your shipment has arrived!<\/strong> <\/p>\n<p>Arrival Information <\/p>\n<p>Your package has been arrived to your local DHL office and it's ready for pick up. <\/p>\n<p>\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014<br \/><strong>ARRIVAL NOTICE <\/strong><br \/>\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014 <\/p>\n<p>DATE &amp; TIME : 2018-09-14 at 4:15<br \/>STATUS : Shipment arrived<br \/>CLASS: Package services <\/p>\n<p>************************ <\/p>\n<p>Please print the receipt that is attached to this email and visit DHL location indicated in the receipt <\/p>\n<p><strong>DHL WorldWide Delivery<\/strong><\/p>\n<\/blockquote>\n<p>(Source: myonlinesecurity.co.uk) <\/p>\n<p>Im Anhang soll sich angeblich eine ausdruckbare Rechnung befinden. Das Word-Dokument enth\u00e4lt jedoch Schadsoftware, die die Schwachstelle in ungepatchten Word-Versionen ausnutzt und weiteren Schadcode herunterladen kann. Daher sollten solche Anh\u00e4nge niemals ge\u00f6ffnet sondern die Mail samt Anhang gel\u00f6scht werden. Falls noch nicht geschehen, sollte auch ein installiertes Office auf den letzten Update-Stand gehoben werden. Weitere Details finden sich in diesem Artikel. <\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/><\/strong><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/10\/microsoft-patchday-office-flash-windows-9-januar-2018\/\">Microsoft Patchday: Office, Flash, Windows (9. Januar 2018)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/11\/28\/hacker-nutzen-office-formeleditor-schwachstelle-cve-2017-11882-aus\/\">Hacker nutzen Office Formeleditor-Schwachstelle CVE-2017-11882 aus<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/10\/microsoft-patchday-office-flash-windows-9-januar-2018\/\">Microsoft Patchday: Office, Flash, Windows (9. Januar 2018)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/18\/microsoft-office-formeleditor-3-0-reaktivieren\/\">Microsoft Office Formeleditor 3.0 reaktivieren<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/07\/30\/microsoft-sicherheitssplitter-30-7-2018\/\">Microsoft-Sicherheitssplitter 30.7.2018<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/02\/19\/angriff-auf-word-funktioniert-ohne-makros\/\">Angriff auf Word funktioniert ohne Makros<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/01\/18\/ms-office-zyklon-malware-nutzt-sicherheitslcken\/\">MS Office: Zyklon-Malware nutzt Sicherheitsl\u00fccken<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/11\/29\/microsoft-security-update-releases-27-november-2017\/\">Microsoft Security Update Releases 27. November 2017<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/11\/17\/microsoft-office-sicherheitsupdates-14-november-2017\/\">Microsoft Office Sicherheitsupdates (14. November 2017)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kurze Warnung an Windows-Nutzer. Aktuell scheint wohl eine SPAM-Mail-Kampagne zu laufen, bei der die Lokibot-Malware \u00fcber Office-Anh\u00e4nge verteilt wird.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[1018,4322,4328],"class_list":["post-209414","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-malware","tag-office","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/209414","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=209414"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/209414\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=209414"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=209414"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=209414"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}