Ein beliebtes Einfallstor für Cyberkriminelle sind E-Mails mit schadhaften Anhängen. Diese Anlagen lösen bei “Klick” Code aus, der über das Internet Schadsoftware auf den Opferrechnern installiert. Hierzu wurden in der Vergangenheit oft Office Dokumente wie Word- oder Exceldateien verwendet und die beinhalteten Makros als “Schadcodeträger” eingesetzt.
Durch das standardmäßige Deaktivieren von Makros in Microsoft Office-Dokumenten im Juli 2022 schien dieser Weg nicht mehr praktikabel. Zudem stellten sich Unternehmen darauf ein und blockierten eingehende Office-Dokumente vor Zustellung an den Endanwender.
Sind Angriffswege nicht mehr lukrativ, suchen Cyberkriminelle neue Wege, Schadsoftware an die Endanwender auszuliefern. Aktuell warnen Sicherheitsforscher vor der Zustellung manipulierter OneNote-Anhänge. OneNote ist ein kostenloses Notizbuch Tool, dass standardmäßig in Office 2019 und Microsoft 365 enthalten ist. Damit kann dieses Dateiformat von jedem Anwender genutzt werden, unabhängig davon, ob dieser OneNote in der täglichen Arbeit verwendet. OneNote-Dateien beinhalten keine Makros, können aber in die sogenannten Notizbücher Programme einbinden.
Diese Möglichkeit nutzen Angreifer und legen Schad-Emails OneNote-Dateien mit eingebetteten VBS-Scripts als Anlage bei. Dieses Anlagenformat wird meist durch die Sicherheitsmechanismen am Unternehmenseingang noch nicht blockiert. Da die VBS-Scripts in den Notizbüchern “ungewöhnlich” wirken und der Klick des Endanwenders damit ausbleiben könnte, legen Cyberkriminelle eine Grafik über die VBS-Icons. Diese Grafik zeigt einen großen Button mit der Aufschrift “Doppelklicken, um die Datei anzuzeigen”. Verschiebt man den Button, werden die darunter liegenden schädlichen VBS-Dateien sichtbar.
Wird die Grafik geklickt, erscheint zwar eine Warnmeldung, aber die Vergangenheit hat gezeigt, dass diese in der Regel mit OK bestätigt werden. Dies führt schließlich zum Starten der VBS-Scripts und löst damit den nächsten Schritt des Cyberangriffs aus.
Welche Schutzmaßnahmen können helfen?
Öffnen Sie keine E-Mails von Unbekannten. Sensibilisieren Sie Ihre Mitarbeiter, keine E-Mails von Unbekannten zu öffnen bzw. nur dann zu öffnen, wenn die E-Mail auf Legitimität geprüft wurde, im Zweifel mit Unterstützung der IT-Ansprechpartner.
Insgesamt kritisch bei Anhängen
E-Mails mit Anhängen oder Links sollten immer kritisch betrachtet werden. Bei Angriffen werden Absenderadressen gefälscht und können auf den ersten Blick als legitim eingeschätzt werden.
Veröffentlichen von Fehlern und ungewöhnlichem Systemverhalten
Melden Sie einen unbedachten Klick oder Ungewöhnlichkeiten unmittelbar. Kurze Meldewege sind essentiell. Hierzu kann eine Notfallkarte sinnvoll sein: ein Papierdokument, dass Ihnen Notfallnummern anzeigt, wenn die Systeme nicht mehr zur Verfügung stehen.
Anhänge blockieren
Um Mitarbeiter erst gar nicht mit einer kritischen OneNote-Datei zu konfrontieren, könnte dieses Dateiformat am Mailserver blockiert werden.
Lieber einmal mehr fragen
Fragen Sie im Zweifel lieber einmal nach. Zusätzlicher Aufwand durch eingehende Anwenderfragen im IT-Support sind unerheblich im Verhältnis zu einem tatsächlichen Vorfall.