[et_pb_section fb_built=“1″ specialty=“on“ custom_css_main_1=“max-width:15%;“ disabled_on=“off|off|“ _builder_version=“4.16″ module_alignment=“center“ custom_padding=“2px|0px|0|0px|false|false“ global_colors_info=“{}“][et_pb_column type=“1_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][\/et_pb_column][et_pb_column type=“3_4″ specialty_columns=“3″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_row_inner admin_label=“Zeile“ _builder_version=“4.16″ custom_padding=“23px|0px|4px|0px|false|false“ locked=“off“ global_colors_info=“{}“][et_pb_column_inner saved_specialty_column_type=“3_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_post_title title=“off“ meta=“off“ featured_placement=“above“ admin_label=“Beitragsbild“ _builder_version=“4.16″ locked=“off“ global_colors_info=“{}“][\/et_pb_post_title][et_pb_post_title meta=“off“ featured_image=“off“ admin_label=“Beitragstitel“ _builder_version=“4.16″ custom_margin=“20px||“ locked=“off“ global_colors_info=“{}“][\/et_pb_post_title][\/et_pb_column_inner][\/et_pb_row_inner][\/et_pb_column][\/et_pb_section][et_pb_section fb_built=“1″ specialty=“on“ custom_css_main_1=“max-width:15%;“ disabled_on=“off|off|“ _builder_version=“4.16″ module_alignment=“center“ custom_padding=“0|0px|0|0px|false|false“ global_colors_info=“{}“][et_pb_column type=“1_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_text admin_label=“Tag“ _builder_version=“4.16″ _dynamic_attributes=“content“ custom_padding=“||0px“ locked=“off“ global_colors_info=“{}“]@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF9kYXRlIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIuIiwiZGF0ZV9mb3JtYXQiOiJjdXN0b20iLCJjdXN0b21fZGF0ZV9mb3JtYXQiOiJkIn19@[\/et_pb_text][et_pb_text admin_label=“Monat“ _builder_version=“4.16″ _dynamic_attributes=“content“ custom_margin=“-5px||2px“ custom_padding=“||0px“ locked=“on“ global_colors_info=“{}“]@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF9kYXRlIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIiLCJkYXRlX2Zvcm1hdCI6ImN1c3RvbSIsImN1c3RvbV9kYXRlX2Zvcm1hdCI6Ik0ifX0=@[\/et_pb_text][et_pb_divider color=“#939393″ divider_weight=“5px“ _builder_version=“4.16″ max_width=“25px“ height=“0px“ custom_margin=“0px||“ locked=“on“ global_colors_info=“{}“][\/et_pb_divider][et_pb_text admin_label=“Jahr“ _builder_version=“4.16″ _dynamic_attributes=“content“ text_font_size=“11px“ custom_margin=“0px||“ locked=“on“ global_colors_info=“{}“]@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF9kYXRlIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIiLCJkYXRlX2Zvcm1hdCI6ImN1c3RvbSIsImN1c3RvbV9kYXRlX2Zvcm1hdCI6IlkifX0=@[\/et_pb_text][et_pb_text admin_label=“Schlagw\u00f6rter“ _builder_version=“4.16″ _dynamic_attributes=“content“ text_font=“|300|on||||||“ text_text_color=“#000000″ text_font_size=“12px“ text_line_height=“1.4em“ custom_margin=“10px||“ custom_padding=“14px||“ border_width_top=“1px“ border_color_top=“#939393″ border_style_top=“dotted“ saved_tabs=“all“ locked=“on“ global_colors_info=“{}“]@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF90YWdzIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIiLCJsaW5rX3RvX3Rlcm1fcGFnZSI6Im9mZiIsInNlcGFyYXRvciI6IiwgIiwiY2F0ZWdvcnlfdHlwZSI6InBvc3RfdGFnIn19@[\/et_pb_text][\/et_pb_column][et_pb_column type=“3_4″ specialty_columns=“3″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_row_inner column_structure=“undefined“ admin_label=“Zeile“ _builder_version=“4.16″ custom_padding=“23px|0px|32px|0px|false|false“ global_colors_info=“{}“][et_pb_column_inner type=“undefined“ saved_specialty_column_type=“3_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_text admin_label=“Introtext“ _builder_version=“4.27.4″ text_font=“||on||||||“ custom_margin=“10px||25px“ custom_padding=“5px||5px“ z_index_tablet=“500″ text_text_shadow_horizontal_length_tablet=“0px“ text_text_shadow_vertical_length_tablet=“0px“ text_text_shadow_blur_strength_tablet=“1px“ link_text_shadow_horizontal_length_tablet=“0px“ link_text_shadow_vertical_length_tablet=“0px“ link_text_shadow_blur_strength_tablet=“1px“ ul_text_shadow_horizontal_length_tablet=“0px“ ul_text_shadow_vertical_length_tablet=“0px“ ul_text_shadow_blur_strength_tablet=“1px“ ol_text_shadow_horizontal_length_tablet=“0px“ ol_text_shadow_vertical_length_tablet=“0px“ ol_text_shadow_blur_strength_tablet=“1px“ quote_text_shadow_horizontal_length_tablet=“0px“ quote_text_shadow_vertical_length_tablet=“0px“ quote_text_shadow_blur_strength_tablet=“1px“ header_text_shadow_horizontal_length_tablet=“0px“ header_text_shadow_vertical_length_tablet=“0px“ header_text_shadow_blur_strength_tablet=“1px“ header_2_text_shadow_horizontal_length_tablet=“0px“ header_2_text_shadow_vertical_length_tablet=“0px“ header_2_text_shadow_blur_strength_tablet=“1px“ header_3_text_shadow_horizontal_length_tablet=“0px“ header_3_text_shadow_vertical_length_tablet=“0px“ header_3_text_shadow_blur_strength_tablet=“1px“ header_4_text_shadow_horizontal_length_tablet=“0px“ header_4_text_shadow_vertical_length_tablet=“0px“ header_4_text_shadow_blur_strength_tablet=“1px“ header_5_text_shadow_horizontal_length_tablet=“0px“ header_5_text_shadow_vertical_length_tablet=“0px“ header_5_text_shadow_blur_strength_tablet=“1px“ header_6_text_shadow_horizontal_length_tablet=“0px“ header_6_text_shadow_vertical_length_tablet=“0px“ header_6_text_shadow_blur_strength_tablet=“1px“ border_width_top=“1px“ border_color_top=“#939393″ border_width_bottom=“1px“ border_color_bottom=“#939393″ border_width_top_tablet=“1px“ border_width_top_phone=“1px“ border_width_bottom_tablet=“1px“ border_width_bottom_phone=“1px“ box_shadow_horizontal_tablet=“0px“ box_shadow_vertical_tablet=“0px“ box_shadow_blur_tablet=“40px“ box_shadow_spread_tablet=“0px“ locked=“off“ global_colors_info=“{}“]<\/p>\n
Die Corona-Pandemie und das berechtigte Interesse an neuen Informationen diesbez\u00fcglich, in Kombination mit der Arbeit im Home-Office werden\u00a0seit Mitte Mai f\u00fcr entsprechende Phishing Kampagnen genutzt. Die E-Mails mit Betreffzeilen wie \u00abWHO Covid-19 Situation Report\u00bb, angeblich versandt vom Johns Hopkins Center for Health Security wirken auf den ersten Blick sehr seri\u00f6s. Hinter dem suggerierten Report im Anhang versteckt sich jedoch ein Excel-4 Makro mit unerw\u00fcnschten Eigenschaften. Microsoft hat aber bis heute mehrere hundert verschiedene Namen und Anh\u00e4nge dieser Phishing-Kampagne identifiziert.<\/p>\n
[\/et_pb_text][et_pb_text admin_label=“Phishing benutzt \u00ablegitime Software\u00bb“ _builder_version=“4.17.5″ global_colors_info=“{}“]<\/p>\n
Excel 4 Makros sind eigentlich Relikte aus einer l\u00e4ngst vergangenen Excel-Welt und haben nach wie vor viele Anh\u00e4nger. Vordergr\u00fcndig betrachtet grundlos, da Visual Basic for Applications (VBA) ein mehr als vollwertiger Ersatz daf\u00fcr ist Durch Ausf\u00fchren des Makros wird tats\u00e4chlich die eigentlich ungef\u00e4hrliche und von vielen Unternehmen produktiv eingesetzte PC-Fernwartung<\/a> NetSupport Manager bis zur Version 12 heruntergeladen. Die eigentlich hohe Sicherheit von NetSupport Manager<\/a>, wird von den Angreifern zu Ihrem Vorteil ausgenutzt. Die Sicherheitskonfiguration ist bei NetSupport Manager beim ferngesteuerten Client hinterlegt und gegen Manipulation gesch\u00fctzt. Der Lizenzschl\u00fcssel dieser L\u00f6sung bis zur Version 12, wurde allerdings vor einigen Jahren \u201egeknackt\u201c. Die eingestellte Option \u201eSilent\u201c in diesem Skript installiert im Hintergrund, eine f\u00fcr den Anwender nicht sichtbare Version der PC-Fernwartung. Ab dann ist es dem Angreifer m\u00f6glich, den so pr\u00e4parierten PC aus der Ferne zu steuern und mit der entsprechenden Berechtigung auf Daten zuzugreifen. Wie der Hersteller NetSupport Ltd<\/a> aus Gro\u00dfbritannien uns best\u00e4tigt hat, wurden in den sp\u00e4teren Versionen effektive Sicherheitsma\u00dfnahmen ergriffen (siehe unten), um auch \u201egeknackte\u201c Lizenzschl\u00fcssel nicht mehr f\u00fcr Angriffe dieser Art verwenden zu k\u00f6nnen. Der f\u00fcr den Anwender nicht sichtbare NetSupport Client wird in Deutschland, \u00d6sterreich und Schweiz aus Gr\u00fcnden des Datenschutzes und der Privatsph\u00e4re nicht angeboten.<\/p>\n \u00abUns ist dieser Phishing-Betrug, der am 12. Mai von Microsoft Security Intelligence gemeldet wurde, bekannt. Dieser Betrug verwendet eine Phishing-E-Mail mit dem Betreff \u201eWHO COVID-19 SITUATION REPORT\u201c und wird so angezeigt, als ob die E-Mail vom John Hopkins Center mit einer angeh\u00e4ngten Excel-Tabelle stammt. Die angeh\u00e4ngte Excel-Tabelle enth\u00e4lt sch\u00e4dlichen Code in einem Excel-Makro, das dann eine Kopie von NetSupport Manager 12 (aktuelle Version ist 12.80) mit einer vorkonfigurierten Installations- und einer geknackten Lizenzdatei herunterl\u00e4dt. Das Skript installiert diese stillschweigend und erm\u00f6glicht so einem Angreifer den Remote-Zugriff auf den Computer.<\/p>\n Alle Betr\u00fcgereien die wir mit NetSupport Manager gesehen haben, verwenden Version 12 oder fr\u00fcher mit \u00abgehackten\u00bb Lizenzschl\u00fcsseln. Ab Version 12.50, haben wir die Sicherheit und die Algorithmen verbessert, die in unserer Lizenzierung verwendet wurden, um diese viel robuster zu machen. Ein zus\u00e4tzlicher \u00abProtection Code\u00bb am Client \u00fcberpr\u00fcft diesen auf Manipulationen und verbessert den Schutz von Lizenzschl\u00fcssel und die Client-Sicherheit. Wir haben keine gehackten Lizenzschl\u00fcssel f\u00fcr Version 12.50 oder h\u00f6her mehr gesehen. Leider k\u00f6nnen wir nicht viel mehr tun, um unerw\u00fcnschte Ereignisse mit alten Versionen von NetSupport Manager zu stoppen\u00bb.<\/p>\n Der effektivste Schutz ist der Einsatz von Anti-Viren- und Malware-L\u00f6sungen. Dadurch sollte der Schadcode im Excel-Makro erkannt und wirkungsvoll verhindert werden. Es gibt jedoch eine Reihe anderer Vorsichtsma\u00dfnahmen, die Sie treffen k\u00f6nnen:<\/p>\n NetSupport r\u00e4t Kunden die produktiv eingesetzte Version von NetSupport Manager mindestens auf 12.50 upzudaten. Der Einsatz von NetSupport Manager als PC-Fernwartung in Unternehmen und Organisation war und ist sicher.<\/p>\n [\/et_pb_text][\/et_pb_column_inner][\/et_pb_row_inner][\/et_pb_column][\/et_pb_section][et_pb_section fb_built=“1″ specialty=“on“ custom_css_main_1=“max-width:15%“ disabled_on=“off|off|off“ _builder_version=“4.16″ custom_padding=“0|0px|0|0px|false|false“ custom_css_main_element=“background-color: #efefef“ global_colors_info=“{}“][et_pb_column type=“1_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_image src=“https:\/\/blog.prosoft.de\/wp-content\/uploads\/2018\/12\/fazit.svg“ align_tablet=“center“ align_phone=““ align_last_edited=“on|desktop“ disabled_on=“on|on|“ admin_label=“Bild Fazit“ _builder_version=“4.16″ max_width=“35%“ module_alignment=“right“ saved_tabs=“all“ locked=“off“ global_colors_info=“{}“][\/et_pb_image][\/et_pb_column][et_pb_column type=“3_4″ specialty_columns=“3″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_row_inner column_structure=“undefined“ admin_label=“Zeile“ _builder_version=“4.16″ global_colors_info=“{}“][et_pb_column_inner type=“undefined“ saved_specialty_column_type=“3_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_text admin_label=“Text FAZIT“ _builder_version=“4.27.4″ hover_enabled=“0″ z_index_tablet=“500″ box_shadow_horizontal_tablet=“0px“ box_shadow_vertical_tablet=“0px“ box_shadow_blur_tablet=“40px“ box_shadow_spread_tablet=“0px“ global_colors_info=“{}“ sticky_enabled=“0″]<\/p>\n Fazit:<\/strong><\/p>\n Hacker werden auch zuk\u00fcnftig das hohe Interesse an Ausnahmesituationen, wie Katastrophen oder Pandemien nutzen, um \u00fcber Phishing E-Mails an n\u00fctzliche Daten oder Ransomware-L\u00f6segeld heranzukommen. Die eingesetzten Methoden und Tools m\u00f6gen sich morgen schon von dem hier vorgestellten Angriffsvektor unterscheiden. Um das Problem nicht hinter die Firewall zu lassen, ist die Sensibilisierung der User definitiv der beste Schutz und Ihre erste Verteidigungslinie. Dazu sind wiederkehrende Schulungen und zeitnahe Anwender-Informationen \u00fcber aktuelle Angriffe notwendig. Trotzdem bleibt der \u00abFaktor Mensch\u00bb unberechenbar. Eine solide Antiviren Strategie, im besten Fall mit einem Anti-Malware Multiscanner<\/a> (Dateien werden parallel mit mehreren AV-Engines \u00fcberpr\u00fcft), sch\u00fctzt Sie in der Regel vor den Folgen der Malware. Gelingt das aufgrund fehlender Viren-Signaturen nicht (z. B. bei Zero Day Attacken), dann kann die Dateidesinfektion<\/a> hier sehr wertvoll sein. Damit werden riskante Dateitypen (hier: Excel-Datei mit Makro) in harmlose Dateien umgewandelt und das Virus desinfiziert. Wobei wir wieder beim Betreff der aktuellen Phishing Angriffe w\u00e4ren!<\/p>\n [\/et_pb_text][\/et_pb_column_inner][\/et_pb_row_inner][\/et_pb_column][\/et_pb_section][et_pb_section fb_built=“1″ admin_label=“Autor und Beitragsnavi“ _builder_version=“4.16″ custom_padding=“0|0px|4px|0px|false|false“ global_module=“2554″ saved_tabs=“all“ locked=“off“ collapsed=“off“ global_colors_info=“{}“][et_pb_row _builder_version=“4.16″ background_size=“initial“ background_position=“top_left“ background_repeat=“repeat“ max_width=“1080px“ custom_padding=“24px|0px|35px|0px|false|false“ global_colors_info=“{}“][et_pb_column type=“4_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_image src=“https:\/\/www.prosoft.de\/blog\/wp-content\/uploads\/2019\/02\/Robert-Korherr-Geschaeftsfuehrer-ProSoft-GmbH.png“ alt=“Robert Korherr“ title_text=“Robert-Korherr-Geschaeftsfuehrer-ProSoft-GmbH“ align=“center“ align_tablet=“center“ align_phone=““ align_last_edited=“on|desktop“ admin_label=“Bild RK“ _builder_version=“4.17.6″ z_index_tablet=“500″ custom_css_main_element=“max-width:100px;;“ global_colors_info=“{}“][\/et_pb_image][et_pb_text admin_label=“Text Robert Korherr“ _builder_version=“4.17.6″ text_orientation=“center“ z_index_tablet=“500″ global_colors_info=“{}“]<\/p>\nDie Stellungnahme von NetSupport<\/h2>\n
\n
\n