Standortauswahl 8x in Deutschland
Mahr EDV Abbildung
Cyber-Angriffe über Excel-Add-Ins Ende 2021 versechsfacht
Passt Mahr EDV
zu meinem Unternehmen?

Cyber-Angriffe über Excel-Add-Ins Ende 2021 versechsfacht

03.02.2022

Kürzlich veröffentlichte HP Wolf Security den aktuellen IT-Sicherheits-Report zum vierten Quartal 2021. Die einführenden Aufmacher – eine Versechsfachung von Cyber-Angriffen über Excel-Add-Ins und das Unwesen des Emotet-Nachfolgers QakBot – zeigen erneut, dass externe Emails eines der Hauptprobleme der IT-Sicherheit darstellen. Damit aber auch, wie der IT-Dienstleister Mahr EDV nicht müde wird, zu betonen, der Mitarbeiter vor dem Rechner, der unbedacht Anhänge öffnet oder auf Links klickt. Diese Feststellung versteht sich, so Geschäftsführer Fabian Mahr, „nicht als Vorwurf an Einzelne, sondern als Mahnung der Unternehmen, ihre Mitarbeiter regelmäßig zu schulen.“

QakBot

Nachdem im Januar 2021 eine weltweite Strafverfolgungsoperation die Emotet-Botnet-Infrastruktur gestört hatte, Mahr EDV berichtete darüber, präsentierte sich QakBot als alternative Möglichkeit für Malware-Betreiber, auf infizierte Systeme zuzugreifen. Wie Emotet kann Qakbot E-Mail-Threads entführen. Die Malware verwendet gestohlene E-Mail-Konversationen, um eine gefälschte Antwort zu generieren, wodurch die Glaubwürdigkeit des Köders und die Wahrscheinlichkeit einer Infektion erhöht werden. Diese Emails enthielten einen Link auf ein Zip-Archiv, dessen Öffnung den QakBot-Trojaner auf dem Rechner platziert.

Angriffe über Excel-Add-Ins versechsfacht

HP Wolf Security stellt einen nahezu sechsfachen Anstieg (588%) von Angriffen fest, die Excel-Add-Ins verwenden (. XLL), um Systeme zu infizieren und immer mehr Malware-Familien zu verbreiten. Identifiziert wurden sieben Malware-Familien – Dridex, IcedID, BazaLoader, Agent Tesla, Raccoon Stealer, Formbook und Bitrat –, die während der Erstinfektion von Systemen über bösartige Excel-Add-Ins übertragen wurden. Eine Fortsetzung des Trends wird für 2022 erwartet.

Bekanntlich besteht der Zweck von Add-Ins darin, leistungsstarke Funktionen aus einem Excel-Arbeitsblatt über eine API aufzurufen. Dadurch können Benutzer die Funktionalität von Excel erweitern. Dass Angreifer legitime APIs und Scripting-Funktionen ausnutzen, ist nicht neu, allerdings wächst, so HP Wolf Security, die Popularität dieser Methode.

In den vom Report untersuchten Fällen wurden E-Mails mit schädlichen XLL-Anhängen an Benutzer gesendet. Ein Doppelklick auf den Anhang öffnet Microsoft Excel, das den Benutzer auffordert, das Add-in zu installieren und zu aktivieren. Die Angreifer platzieren ihren Code in der xlAutoOpen-Funktion, die unmittelbar nach der Aktivierung des Add-Ins ausgeführt wird.

Die Gefahr dieser Technik besteht darin, dass nur ein Klick erforderlich ist, um die Malware auszuführen.

Tipps zur Risikoreduktion

HP Wolf Security gibt folgende Empfehlung: „Konfigurieren Sie Ihr E-Mail-Gateway so, dass eingehende E-Mails mit XLL-Anhängen blockiert werden, konfigurieren Sie Microsoft Excel so, dass nur von vertrauenswürdigen Herausgebern signierte Add-Ins zugelassen werden, konfigurieren Sie Microsoft Excel so, dass proprietäre Add-Ins vollständig deaktiviert werden.“

Fabian Mahr schlägt darüber hinaus vor, externe Emails durch den Hinweis „[Extern]“ im Absender zu kennzeichnen, weil es dann schon mal stutzig macht, wenn interne Mitarbeiter-Mails als extern erscheinen und dadurch einen Hinweis auf Kaperungen interner Kommunikationen geben. Letztendlich komme es darauf an, empfangene Anhänge und Links erst dann zu öffnen, wenn die Vertrauenswürdigkeit des Absenders überprüft wird. „Da gibt es einige Kriterien“, so Mahr, „die man in Schulungen vermitteln kann.“