Vorsicht, neue Phishing-Mails mit Makro-Viren: „Versand 24.11.2014“

Aktuell sind wieder neue Phishing Emails unterwegs, die eine angebliche Rechnung im Anhang enthalten. Anders als bei den meisten Phishing-Mails versteckt sich die Gefahr aber nicht in einer ausführbaren EXE-Datei – dies erkennen viele Anwender mittlerweile als Gefahr. Stattdessen wird ein normales Word-Document (DOC Datei) mitgeschickt. Statt dem Text enthält die Datei aber ein Makro-Skript, das im Hintergrund Befehle ausführen soll.

Hat man in den Makro- oder Sicherheitseinstellungen die Ausführung von Makro-Skripten zugelassen, wird das Makro in dem Dokument ausgeführt: Es versucht anscheinend, eine Browser-Verbindung zu einem fremden Server aufzubauen und von dort die ausführbare Datei „presentation[de].exe“ herunterzuladen – die wahrscheinlich einen Virus oder Trojaner enthält.

Die Emails haben Betreff-Zeilen wie „Versand 24.11.2014“ oder „Rechnug vom 24.11.2014“ (mit Tippfehler oder aktualisiert als „Rechnung vom 24.11.2014“), angehängt ist die Datei „RECHNUNG_vom_24112014.doc“. Beim Öffnen, wenn Makros nicht erlaubt wurden, wird der folgende Text ausgegeben: „Um diesen Text zu sehen, müssen Makros aktiviert werden.“. Natürlich sollte man die Makros nicht aktivieren und die Email am besten direkt löschen, ohne den Anhang zu öffnen.

 
Der Text der Email lautet:

Sehr geehrter Kunde,

Vielen Dank für die Bestellung.
Bitte überprüfen Sie die Bestellmenge, die Bestellsumme und die Lieferadresse.
Die Rechnung finden Sie im Anhang.

Bei Fragen stehen wir Ihnen gern zu Verfügung.

Mit freundlichen Grüßen

Geschäftsführer. Dirk Schirakowski ; Schütze Uwe

Vertreter Schütze Uwe ; Schirakowski Dirk
Umsatzsteuer-Identifikationsnummer gemäß § 27a

Umsatzsteuergesetz: DE189964006 Stnr.: 2636530279

Registernummer: KS HR A8707

Inhaltlich Verantwortlicher gemäß § 6 MDStV: Dirk Schirakowski

 
Das kostenlose Office-Paket „OpenOffice“ warnt beim Öffnen einer Datei, die ein integriertes Makro enthält. In den Einstellungen unter „OpenOffice“ » „Sicherheit“ lässt sich dies anpassen: Wenn man nicht selbst regelmäßig mit den Word-Makros arbeitet, sollte man die Funktion am besten abschalten.