Microsoft warnt aktuell vor neuen Corona Phishing Mails

10.
Jun
2020
Corona, NetSupport Manager, Phishing Email, WHO COVID-19
Die Corona-Pandemie und das berechtigte Interesse an neuen Informationen diesbezüglich, in Kombination mit der Arbeit im Home-Office werden, laut Microsoft Security Intelligence seit Mitte Mai für entsprechende Phishing Kampagnen genutzt. Die E-Mails mit Betreffzeilen wie «WHO Covid-19 Situation Report», angeblich versandt vom Johns Hopkins Center for Health Security wirken auf den ersten Blick sehr seriös. Hinter dem suggerierten Report im Anhang versteckt sich jedoch ein Excel-4 Makro mit unerwünschten Eigenschaften. Microsoft hat aber bis heute mehrere hundert verschiedene Namen und Anhänge dieser Phishing-Kampagne identifiziert.

Phishing benutzt «legitime Software»

Excel 4 Makros sind eigentlich Relikte aus einer längst vergangenen Excel-Welt und haben nach wie vor viele Anhänger. Vordergründig betrachtet grundlos, da Visual Basic for Applications (VBA) ein mehr als vollwertiger Ersatz dafür ist Durch Ausführen des Makros wird tatsächlich die eigentlich ungefährliche und von vielen Unternehmen produktiv eingesetzte PC-Fernwartung NetSupport Manager bis zur Version 12 heruntergeladen. Die eigentlich hohe Sicherheit von NetSupport Manager, wird von den Angreifern zu Ihrem Vorteil ausgenutzt. Die Sicherheitskonfiguration ist bei NetSupport Manager beim ferngesteuerten Client hinterlegt und gegen Manipulation geschützt. Der Lizenzschlüssel dieser Lösung bis zur Version 12, wurde allerdings vor einigen Jahren „geknackt“. Die eingestellte Option „Silent“ in diesem Skript installiert im Hintergrund, eine für den Anwender nicht sichtbare Version der PC-Fernwartung. Ab dann ist es dem Angreifer möglich, den so präparierten PC aus der Ferne zu steuern und mit der entsprechenden Berechtigung auf Daten zuzugreifen. Wie der Hersteller NetSupport Ltd aus Großbritannien uns bestätigt hat, wurden in den späteren Versionen effektive Sicherheitsmaßnahmen ergriffen (siehe unten), um auch „geknackte“ Lizenzschlüssel nicht mehr für Angriffe dieser Art verwenden zu können. Der für den Anwender nicht sichtbare NetSupport Client wird in Deutschland, Österreich und Schweiz aus Gründen des Datenschutzes und der Privatsphäre nicht angeboten.

Die Stellungnahme von NetSupport

«Uns ist dieser Phishing-Betrug, der am 12. Mai von Microsoft Security Intelligence gemeldet wurde, bekannt. Dieser Betrug verwendet eine Phishing-E-Mail mit dem Betreff „WHO COVID-19 SITUATION REPORT“ und wird so angezeigt, als ob die E-Mail vom John Hopkins Center mit einer angehängten Excel-Tabelle stammt. Die angehängte Excel-Tabelle enthält schädlichen Code in einem Excel-Makro, das dann eine Kopie von NetSupport Manager 12 (aktuelle Version ist 12.80) mit einer vorkonfigurierten Installations- und einer geknackten Lizenzdatei herunterlädt. Das Skript installiert diese stillschweigend und ermöglicht so einem Angreifer den Remote-Zugriff auf den Computer.

Alle Betrügereien die wir mit NetSupport Manager gesehen haben, verwenden Version 12 oder früher mit «gehackten» Lizenzschlüsseln. Ab Version 12.50, haben wir die Sicherheit und die Algorithmen verbessert, die in unserer Lizenzierung verwendet wurden, um diese viel robuster zu machen. Ein zusätzlicher «Protection Code» am Client überprüft diesen auf Manipulationen und verbessert den Schutz von Lizenzschlüssel und die Client-Sicherheit. Wir haben keine gehackten Lizenzschlüssel für Version 12.50 oder höher mehr gesehen. Leider können wir nicht viel mehr tun, um unerwünschte Ereignisse mit alten Versionen von NetSupport Manager zu stoppen».

Der effektivste Schutz ist der Einsatz von Anti-Viren- und Malware-Lösungen. Dadurch sollte der Schadcode im Excel-Makro erkannt und wirkungsvoll verhindert werden. Es gibt jedoch eine Reihe anderer Vorsichtsmaßnahmen, die Sie treffen können:

  • Sensibilisierung der Benutzer vor Phishing-Betrug – Die Schulung der Benutzer ist der wirksamste Schutz gegen Phishing-Attacken.
  • Führen Sie keine Makros oder ausführbaren Dateien aus unbekannten Quellen aus.
  • Halten Sie den Viren- und Malware-Schutz auf dem neuesten Stand.
  • Wenn Sie bereits NetSupport Manager-Kunde sind, sollten Sie Ihre Clients mithilfe von Richtlinien konfigurieren. Richtlinien haben immer Vorrang vor manuellen Einstellungen in der Client32.ini. Wir empfehlen, dass einige oder alle der folgenden Punkte in Richtlinien angewendet werden:
    • Bei Betrug mit NetSupport Manager als Remote-Access-Tool wird das HTTP-Protokoll verwendet. Sie können dies entweder in der Richtlinie deaktivieren, wenn Sie es nicht verwenden, oder das Gateway in der Richtlinie festlegen
    • Legen Sie einen speziellen Sicherheitsschlüssel in der Richtlinie fest
    • Legen Sie die Benutzerbestätigung in der Richtlinie fest
    • Legen Sie die Authentifizierung in der Richtlinie fest
    • Legen Sie die Client-Benutzeroberfläche fest, die in der Richtlinie angezeigt werden soll

NetSupport rät Kunden die produktiv eingesetzte Version von NetSupport Manager mindestens auf 12.50 upzudaten. Der Einsatz von NetSupport Manager als PC-Fernwartung in Unternehmen und Organisation war und ist sicher.

Fazit:

Hacker werden auch zukünftig das hohe Interesse an Ausnahmesituationen, wie Katastrophen oder Pandemien nutzen, um über Phishing E-Mails an nützliche Daten oder Ransomware-Lösegeld heranzukommen. Die eingesetzten Methoden und Tools, mögen sich morgen schon von dem hier vorgestellten Angriffsvektor unterscheiden. Um das Problem nicht hinter die Firewall zu lassen, ist die Sensibilisierung der User definitiv der beste Schutz und Ihre erste Verteidigungslinie. Dazu sind wiederkehrende Schulungen und zeitnahe Anwender-Informationen über aktuelle Angriffe notwendig. Trotzdem bleibt der «Faktor Mensch» unberechenbar. Eine solide Anti-Viren Strategie, im besten Fall mit einem Anti-Malware Multiscanner (Dateien werden parallel mit mehreren AV-Engines überprüft), schützt Sie in der Regel vor den Folgen der Malware. Gelingt das aufgrund fehlender Viren-Signaturen nicht (z.B. bei Zero-Day Attacken), dann kann die Dateidesinfektion hier sehr wertvoll sein. Damit werden riskante Dateitypen (hier: Excel-Datei mit Makro) in harmlose Dateien umgewandelt und das Virus desinfiziert. Wobei wir wieder beim Betreff der aktuellen Phishing Angriffe wären!

Chefredakteur und Geschäftsführer der ProSoft GmbH

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This