Nach Berichten von Heise und anderen landen aktuell wieder in großem Umfang gefälschte Rechnungen in den Email-Postfächern.

Diese Emails sehen aus, als stammen sie scheinbar von Kollegen, Geschäftspartnern oder auch von der Deutschen Telekom. Die Emails sind in gutem Deutsch verfasst und informieren über angebliche Rechnungskorrekturen oder Reklamationen wegen falscher Mehrwertsteuer.

Alle haben aber gemeinsam, dass ihnen eine DOC-Datei anhängt, die versucht, den Rechner des Empfängers mit Schadsoftware zu infizieren.

Gefährliche .DOC-Datei im Anhang

Die DOC-Datei im Anhang enthält Makros, zu deren Aktivierung der Empfänger mit einem Trick genötigt werden soll. Angeblich handelt es sich um ein Dokument, das mit der Onlineversion von Microsoft Office 365 erstellt wurde. Um das Dokument anzuschauen, müsse man “Enable content” anklicken.

Sobald man das macht, wird ein Makro aktiv, das im Hintergrund via Powershell Schadsoftware aus dem Netz nachlädt und dann startet, beispielsweise die auf Passwort-Diebstahl und Online-Banking-Betrug spezialisierte Malware Emotet.

Antiviren-Software hat nur geringe Erkennungsquoten

Leider schützt Antiviren-Software zurzeit noch nicht ausreichend vor diesem Angriff. Die statische Erkennungsquote der Scanner bei Virustotal ist zumindest nur sehr niedrig, und viele bekannte AV-Programme erklären die gefährliche DOC-Datei und sogar die nachgeladenen Malware-Programme für sauber.

Und darauf, dass der Virenschutz beim Öffnen des Dokuments trotzdem aktiv wird und die Infektion dann verhindert, sollte man sich besser nicht verlassen…