Wie viele Corona-Neuinfektionen gibt es in meiner Heimat? Wie gefährlich ist welche Region? Der Wissensdurst zur weltweiten Pandemie ist trotz der in Deutschland sinkenden Fallzahlen nach wie vor hoch. Das machen sich auch Kriminelle zunutze. Microsoft warnt aktuell vor einer Angriffswelle auf Windows-Rechner. Die Angreifer bedienen sich eines alten Tricks, um Kapital aus dem Informationsbedürfnis zum Virus zu schlagen.
"Wir beobachten aktuell eine massive Kampagne", warnte Microsofts Sicherheitsabteilung bei Twitter. Mit Hilfe manipulierter Excel-Makros versuchten Hacker demnach bereits seit mehren Monaten, die Kontrolle über Rechner zu gelangen. Und hätten nun auf die Coronakrise als Lockmittel umgeschwenkt.
Etablierte Informationsquelle als Köder
Die aktuellen Mails geben demnach vor, vom etablierten Johns Hopkins Center zu stammen. Die US-Privatuniversität pflegt die weltweit schnellste Corona-Karte, ist mit ihren Daten oft schneller als nationale Lösungen. Auch das deutsche RKI hinkt mit seiner Info-Seite meist den US-Kollegen hinterher. Die bisher nur englischsprachigen Mails geben vor, die Nutzer mit den neuesten Informationen zu versorgen, einige scheinen zusätzlich mit reißerischen Betreffs wie "horrible charts" (etwa: Schreckensgrafik) zu locken.
Öffnet man den Excel-Anhang, ist es zu spät. Zwar öffnet sich tatsächlich eine Tabelle, die dem Nutzer auch angezeigt wird. Im Hintergrund läuft aber ein sogenanntes Makro ab, dass heimlich die eigentlich legitimen Werkzeuge zur Fernsteuerung des PCs aktivieren - und den Angreifern so den Zugriff ermöglichen.
Microsoft stellt das vor ein Dilemma: Die Hacker kombinieren für den Angriff zwei Werkzeuge, die einen legitimen Nutzen haben und auch von vielen Nutzern benötigt werden. Excel-Makros ermöglichen es, oft benötigte Aufgaben im Tabellen-Programm automatisiert ablaufen zu lassen. Der Fernzugriff ist nützlich für Wartungsarbeiten und zur externen Unterstützung. Wer die Makros nicht benutzt, kann erwägen, sie abzuschalten. Wie das geht, erklärt Microsoft auf dieser Support-Seite.
Angriffe laufen schon länger
Tatsächlich ist die Kampagne schon seit Monaten im Gang, schreibt der Konzern. Im Laufe der Zeit seien Hunderte von verschiedenen Excel-Dateien entdeckt worden, in denen sich die komplexen Angriffs-Makros befanden. Sie alle würden am Ende aber auf dieselbe URL zugreifen. Erst seit April seien die Angreifer auf den Coronavirus als Lockmittel umgeschwenkt.
Neben dem Remotetool gebe es auch eine Variante des Angriff über den Trojaner Trickbot, so der Konzern. Der Schädling wird demnach teilweise ebenfalls über die Makros heruntergeladen. Es gäbe aber auch eigene Spam-Mails mit Corona-Bezug, bei denen er gleich angehängt sei.
Das John Hopkins Center hat die Kampagne mittlerweile ebenfalls aufgegriffen. Man verschicke aus Prinzip keine Info-Mails mit Anhängen, teilt die Universität ihren Twitter-Followern mit. Und gibt zwei Tipps, die man sich auch im allgemeinen Umgang mit E-Mails zu Herzen nehmen sollte: "Prüfen Sie den Absender von E-Mails lieber zweimal und laden Sie keine Daten von unbekannten Quellen herunter."
Quellen:Microsoft (Twitter), Threadpost
