Das riesige Necurs-Botnetz verteilt momentan Millionen von Spam-Mails, an denen Schadcode anhängt, der auf die Zero-Day-Lücke abzielt, die Microsoft im Laufe des heutigen Tages fixen will. Auch das CERT des Bundes warnt vor Angriffen.

Momentan heißt es besonders aufgepasst beim Öffnen von E-Mails. Das riesige Necurs-Botnetz verteilt Angriffsmails mit angehängten RTF-Dokumenten, die eine bisher ungepatchte Lücke in Microsoft Office ausnutzen sollen. Der Zero Day wurde gestern bekannt und Microsoft hat bereits bestätigt, dass man die Lücke am heutigen Patch Day schließen will. Bis dahin sind Windows-Rechner mit installiertem Office allerdings besonders gefährdet.

Malicious RTF docs (ab)using recent Word 0-Day to spread #Dridex banking trojan - https://t.co/F3lOrxZHs4 — CERT-Bund (@certbund) April 11, 2017

Auch das Computer Emergency Response Center des Bundes warnt akkut vor den Angriffen. Entdeckt hat die Schadcode-Kampagne die Sicherheitsfirma Proofpoint. Die Forscher berichten, dass ein Öffnen der infizierten Dateien bereits dazu führt, dass der Rechner des Opfers kompromittiert wird. Word blendet zwar eine Warnung vor potenziell gefährlichen Links ein, an diesem Punkt ist der Rechner aber bereits geowned. Die Necurs-Bots versuchen anscheinend den Dridex-Trojaner zu installieren.

Anwender sollten verdächtig aussehende Mails momentan unter keinen Umständen öffnen, wenn sie Office installiert haben. Außerdem sollten sie alle von Microsoft für den heutigen Abend angekündigten Sicherheitsupdates umgehend installieren.

Update 11.04.2017, 14:35 Uhr

Meldung auf Hinweis des CERT-Bund präzisiert, da es sich um das Necurs-Botnetz handelt, das den Banking-Trojaner Dridex verteilt.

Siehe dazu: