Nach Berichten des Webwork-Magazins und anderer Internetseiten landen gerade Mengen von gefälschten Rechnungen in den Email-Postfächern.

Solche Emails sehen aus, als stammen sie von Kollegen, Geschäftspartnern oder auch von der Telekom. Sie sind in korrektem Deutsch verfasst und informieren den Empfänger über angebliche Rechnungskorrekturen oder Reklamationen wegen falscher Mehrwertsteuer.

Alle diese per Email versandten Rechnungen haben aber eine gefährliche Gemeinsamkeit: Ihnen hängt eine .DOC-Datei an, die versucht, den Rechner des Empfängers mit Schadsoftware zu infizieren.

.DOC-Datei im Anhang enthält einen Trojaner

Die .DOC-Datei im Anhang der Rechnungs-Mails enthält Makros, zu deren Aktivierung der Empfänger mit einem Trick genötigt wird: Angeblich handelt es sich um ein Dokument, das mit der Onlineversion von Microsoft Office 365 erstellt wurde (siehe Artikelbild). Um das Dokument anzuschauen, müsse man „Enable content“ anklicken.

Sobald der Empfänger das wirklich macht, wird ein Makro aktiv, das im Hintergrund über Powershell Schadsoftware aus dem Netz nachlädt und dann startet, zum Beispiel die auf Passwortdiebstahl und Onlinebanking-Betrug spezialisierte Malware Emotet.

Antivirenprogramme haben nur geringe Erkennungsquoten

Leider schützt die normale Antiviren-Software heute noch nicht ausreichend vor diesem Angriff. Die statische Erkennungsquote der Virenscanner bei Virustotal ist zumindest nur sehr niedrig, und viele bekannte AV-Programme erklären die gefährliche .DOC-Datei und sogar die nachgeladenen Schadsoftware als sauber.

Darauf, dass der Virenschutz letztlich beim Öffnen des Dokuments doch noch aktiv wird und die Infektion dann noch verhindert, sollte man sich sicherheitshalber besser nicht verlassen…