Kurzfassung: Die aktuelle Retefe-Welle hat neue Eigenschaften, und Cleanmail passt die Filter weiter an. Benutzer sollten Word-Makros prinzipiell misstrauen und sie sollten die Sicherheitseinstellungen von Microsoft Office prüfen.
Die Virusfamilie, die meistens unter dem Namen Retefe bekannt ist, versucht unter anderem Zugangsdaten zum Onlinebanking der Opfer zu stehlen. Die Retefe-Welle vom April 2018 ist „handwerklich“ gut gemacht, was auf eine Professionalisierung der Angreifer hindeutet:
- Der Virus wird nicht im E-Mail selbst verschickt. Per E-Mail wird ein Word-Dokument verschickt, in dem ein Makro steckt, welches dann die eigentliche unerwünschte Software herunterlädt und ausführt.
- Diese Word-Makros sind bei jedem E-Mail individuell, so dass die klassische Mustererkennung im Spam- und Virenfilter nur begrenzt hilft.
- Der Versand hat wenig spam-typische Merkmale: Die Empfänger werden zielgenau angeschrieben, die Texte sind in einigermassen fehlerfreiem Deutsch verfasst, und es werden IP-Adressen mit guter Reputation verwendet.
Cleanmail hat die Filter entsprechend angepasst und wird die Situation weiterhin genau verfolgen.
Zum Schutz vor dem Verbreitungsweg über Makros (und das betrifft bei weitem nicht nur Retefe) in Word- und anderen Microsoft Office-Dokumenten gibt es drei essentielle Schritte:
- Schutz des Rechners vor unerwünschter Software (Virenscanner)
- Sensibilisierung der Benutzer über die Risiken, die von Makros ausgehen können
- Anpassung der Sicherheitseinstellungen in Microsoft Office (Anleitung dazu)
Zum Schutz vor unerwünschter Software, die nicht Onlinebanking-Daten stehlen sondern zB Daten verschlüsseln (sog. Ransomware) sind zudem laufende Backups, von denen innert nützlicher Frist auch eine Wiederherstellung erfolgen kann, essentiell.