Um die seit einiger Zeit stark vermehrt auftretende Malware, die Makros in Microsoft Office Dokumenten nutzt (u.A. Emotet), effektiver zu bekämpfen, wurde Anfang Dezember 2018 auf den zentralen Mailservern der Universität Stuttgart eine Maßnahme ergriffen, die die Last der E-Mails mit infektiösen Anhängen drastisch senken konnte. Die Maßnahme verhindert die Annahme von Nachrichten, die von einem Server außerhalb der Universität gesendet wurden und eine Microsoft-Office-Datei mit Makros als Anhang besitzen. Dies führt dazu, dass Mails mit Makro-basierter Malware im Anhang ausgefiltert werden, verhindert jedoch auch, dass legitime E-Mails mit einem solchen Anhang, die über die zentralen Mailrelays gesendet werden, angenommen und an den vorgesehenen Empfänger an der Uni ausgeliefert werden. Für diese Fälle wird empfohlen, entweder Anhänge ohne Makros zu versenden oder die Dokumente in anderen Formaten (etwa PDF) anzuhängen.

Weitere Information zu diesem Thema

• Meldung des BSI zu Emotet
• Seite des RUS-CERT zu Malware
• Seite des RUS-CERT zu Phishing
• Seite des RUS-CERT zu Spam

Weitere Artikel zu diesem Thema:

• [Ransomware] Vorgebliche Fax-Benachrichtigung enthält URL zu Verschlüsselungssoftware (2019-09-24)
  Derzeit erhalten Benutzer per E-Mail Benachrichtigungen zu einem vorgeblich für sie unter einem in der Nachricht enthaltenen URL hinterlegten Fax und die Aufforderung, dieses herunterzuladen und zu betrachten. Das Herunterladen und Betrachten der hinterlegten Datei führt jedoch zur Installation von Ransomware, die unmittelbar beginnt, die Daten, auf die vom betroffenen Rechnersystem zugegriffen werden kann, zu verschlüsseln.
• Emotet/Trickbot - Welle gefälschter E-Mails mit Schadsoftware (2018-11-13)
  Derzeit sind wieder zahlreiche Mails mit infektiösen Word-Dateien als Anhang und einem Betreff wie "Rechnung", "Zahlungsschreiben" o.Ä. unterwegs. Die Nachrichten stammen scheinbar von Kollegen und sind in gutem Deutsch abgefasst. Die angehängte Datei enthält Makros, die zur Infektion des Rechnersystems, auf dem die Datei betrachtet wird, dienen sollen. Um den Benutzer dazu zu verleiten, diese Makros zu aktivieren, gibt die Datei vor, mit Office 365 ("online version of Microsoft Office Word") erstellt worden zu sein und fordert auf den "Enable editing" und dann den "Enable content" Button anzuklicken. Tut man das, wird Malware nachgeladen und das Rechnersystem infiziert. Empfänger sollten bei solchen Nachrichten lieber zunächst beim als vermeintlichem Absender angegebenen Kollegen anrufen, bevor sie einen solchen Anhang öffnen. Auch aktuelle Antivirussoftware erkennt derzeit viele dieser Schädlinge nicht.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/