G Data: Remote Access Trojaner NetWire verbreitet sich über Excel-Tabellen

Der Bochumer Sicherheitsanbieter G Data warnt vor einer Angriffswelle mit dem Remote Access Trojaner NetWire. Nutzer sollen mit Spam-E-Mails, an die eine spezielle gestaltete Excel-Tabelle angehängt ist, zur Installation der Malware verleitet werden. Die Hintermänner können auf diese Art die vollständige Kontrolle über ein befallenes System übernehmen.

Abgesehen haben es die Cyberkriminellen laut der Analyse der Sicherheitsexperten auf persönliche Daten und Kennwörter. Der auf Windows-Systeme ausgerichtete Trojaner sei zwar schon seit längerem bekannt und in der Cybercrime-Szene auch weit verbreitet, seit kurzem sei er jedoch sehr aktiv.

Die Excel-Tabelle enthält demnach ein PowerShell-Skript, das die Malware auf einem System einrichtet. Nutzer müssen allerdings zuerst die Ausführung von Makros genehmigen. Dazu soll sie ein Hinweise in der Tabelle verleiten, wonach ein Plug-in fehlen soll, um das Dokument anzeigen und bearbeiten zu können.

„Anwender sollten bei E-Mails mit Excel-Dokumenten im Anhang höchste Vorsicht walten lassen. Zurzeit nutzen Kriminelle diesen Weg, um den Remote Access Trojaner NetWire zu verbreiten. Wird die Datei geöffnet, aktiviert sich PowerShell und lädt über paste.ee zwei Dateien nach. Eine der Dateien ist eine .NET DLL, welche die zweite Datei, NetWire, mittels Process Injection ausführt“, wird Karsten Hahn, Virus-Analyst bei G Data, in einer Pressemitteilung zitiert.

Wir die Ausführung von Makros bestätigt und somit das PowerShell-Skript gestartet, sind die Cyberkriminellen in der Lage, das System aus der Ferne zu steuern, ohne dass der Nutzer dies merkt. Sie können außerdem nicht nur Daten ausspähen und stehlen, sondern auch löschen.

„Falls PowerShell auf einem Rechner nicht nötig ist, sollte es deaktiviert werden“, rät der Experte. Darüber hinaus empfiehlt er, was bei einem Anbieter von Sicherheitslösungen zu erwarten ist, den Einsatz einer Antivirensoftware.