Makros sind eigentlich Abfolgen von Anweisungen, die einen Vorgang in Word, PowerPoint oder Excel automatisieren. Sie bestehen also aus einer Kombination von Tasten- und Mausklicks, die aufgenommen und gespeichert werden. Ihre Verwendung spart so Zeit und kann gerade im Fall von großen Excel-Dateien die Arbeit enorm erleichtern.
Cyberkriminelle versehen PPT-Dateien mit Makros, die den Trojaner Agent Tesla bereitstellen. Agent Tesla ist ein weit verbreitetes Remote Access Tool (RAT), das seit rund acht Jahren speziell für den Diebstahl von Daten eingesetzt wird. Die Angreifer schalten den Schutz am Endpoint aus, bevor sie die Malware in das System ihres Opfers einschleusen.
Agent Tesla wird meist in Form eines Anhangs einer Spam-Mail verbreitet. In dem oben geschilderten Szenario als bösartiges PowerPoint-Makro, das in einer vermeintlich vertrauenswürdigen Office-Datei gespeichert ist.
Security Software hat keine Chance
Da Makros eigentlich die Arbeit in MS Office erleichtern sollen, werden sie von Sicherheitslösungen nie oder selten als bösartig erkannt. Selbst neueste Security Software erkennt die Gefahr eines Office-Anhangs in einer E-Mail selten, weshalb die Angreifer mit dieser Methode große Erfolge feiern.
Das Resultat: Schädliche Office-Dokumente machten bis Ende 2021 noch immer 37 Prozent aller Malware-Downloads aus, berichtet NetSkope’s Cloud & Threat Report von Januar 2022.
Und wie immer ist es der Faktor Mensch, der bei diesem Angriff die Sicherheitslücke ausmacht. Schließlich sind es die Empfänger:innen der Phishing-Mail, die die PPT-Datei öffnen und so Agent Tesla Tür und Tor zu ihrem Unternehmen öffnen.
Alles nimmt seinen Anfang mit einer unscheinbar wirkenden E-Mail
Einem gut geschulten User fallen die E-Mails, mit denen die schädlichen PowerPoint Dateien verschickt werden, sofort auf. Jedoch ist die Belegschaft meist nicht im Erkennen von Phishing-Mails trainiert, so dass es an Sicherheitsbewusstsein mangelt, um auf den Gedanken zu kommen, dass der Anhang bösartig sein könnte und daher nicht geöffnet werden darf.
Dass PPTs dazu verwendet werden, Trojaner zu verbreiten, ist nicht neu. Umso erschreckender ist die Tatsache, dass immer noch zahlreiche User unbehelligt eine PPT-Datei ohne gründliche Prüfung öffnen.
Es ist an der Zeit, die Cyber-Intelligenz in Ihrem Unternehmen zu testen. Melden Sie sich jetzt zu unserer kostenfreien Phishing-Demo an, um einen Einblick in unser umfangreiches Security Awareness Training zu erlangen.
