Verbreitung von Schadsoftware über E-Mail-Anhänge und Links

Das URZ weist darauf hin, dass zum in den letzten Tagen innerhalb der Universität ein erhöhtes Vorkommen von E-Mails mit Schadsoftware bzw. Malware existiert.

Eine der uns bekannten Malware funktioniert auf allen Systemen, die mit dem Microsoft Windows Betriebssystem arbeiten und Microsoft Office, (in diesem Fall) speziell Microsoft Outlook installiert haben. Die Malware arbeitet folgendermaßen nach der Ausführung:

  • Nachladen von weiterem Schadcode
  • Durchsuchen des Mailkontos des Opfers mit dem Ziel Gesprächsverläufe zu detektieren, Maßgeblich: "Wer kommuniziert mit wem zu welchem Betreff"
  • Eine Antwortmail wird erstellt auf Basis der letzten erhaltenen Mail eines jeden Kontakts, beispielsweise mit: "Bitte prüfen Sie die Angaben in der Dokumentation", "Bitte prüfen Sie den neuen Abschnitt im Jahresbericht"
  • Die Antwortmail wird unterschrieben mit dem korrekten Namen sowie Mailadresse des Opfers und hängt eine makrobasierte Word- oder Exceldatei an, die weitere Malware nachlädt
  • Die Antwortmail wird über verschiedene variierende externe Emaildienste (vermutlich gekaperte Mailserver) versendet, weshalb auch unserer Ansicht nach eine Datenschutzmeldung erforderlich ist

Ein weiterer aktiver Schädling ist Gandcrab über den wir bereits berichteten.

Wir möchten Sie nochmals auf generelle Maßnahmen im Umgang mit verdächtigen Mails hinweisen

Folgen Sie bei E-Mails, deren Betreff und Text Ihnen ungewöhnlich bzw. merkwürdig erscheinen, unter keinen Umständen dem angegebenen Link und öffnen Sie auch keine Anhänge. Dies gilt auch dann, wenn Ihnen der Absender bekannt ist, denn die sichtbaren E-Mail Absender lassen sich leicht fälschen. Bei bekannten Absendern können Sie im Zweifelsfall telefonisch nachfragen, ob die erhaltene E-Mail tatsächlich von der betreffenden Person stammt. Ansonsten löschen Sie bitte derartige E-Mails mit der Tastenkombination „Umschalt+Entf“ umgehend und unwiederbringlich, d. h. ohne den Umweg über den Papierkorb.

Wir empfehlen die folgenden Maßnahmen:

  • Öffnen Sie keine Dateianhänge oder Links in E-Mails, an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht. Als Spam markierte E-Mails sind nie vertrauenswürdig. Nehmen Sie sich insbesondere vor E-Mails mit verdächtigen Anhängen, wie z.B. Rechnungen in Acht, die Sie nicht zuordnen können. 
  • Starten Sie keine ausführbaren Dateien, an deren Vertrauenswürdigkeit Sie zweifeln.
  • Richten Sie sich Zertifikate für ihre E-Mailpostfächer ein, um ihren Kontakten von ihnen gesendeten E-Mails eine Authentizitätsprüfung zu ermöglichen
  • Achten Sie darauf auf ihren Rechnern einen aktuellen Virenscanner im Betrieb zu haben
  • Überprüfen Sie bei vermeintlich internen E-Mails, ob der Absender tatsächlich eine E-Mailadresse @uni-heidelberg.de oder @uni-hd.de nutzt
  • Deaktivieren Sie unbedingt standardmäßig die Makrofunktion in allen Office-Anwendungen