Microsoft warnt vor massiver Emotet-Kampagne

[English]Das Microsoft Security Intelligence-Team hat gerade eine Warnung auf Twitter herausgegeben, die vor einer massiven Emotet-Kampagne warnt, die vor wenigen Stunden losgebrochen ist.


Anzeige

Der Trojaner Emotet tauchte (nach einer mehrmonatigen Pause) gestern in einer massiven Kampagne wieder auf.

Die neue Kampagne basiert auf langjährigen Emotet-Taktiken: E-Mails mit Links oder Dokumenten mit stark verschleierten bösartigen Makros, die ein PowerShell-Skript ausführen, um die Nutzdaten von 5 Download-Links herunterzuladen. Die Kollegen von Bleeping Computer haben hier mehr Informationen zusammen getragen.

Ergänzung: Auch Malwarebytes hat eine Stellungnahme zum Fall abgegeben. Nach fünf Monaten Abwesenheit ist die Schadsoftware Emotet zurückgekehrt. Die Sicherheitsforscher von Malwarebytes entdeckten erstmals in den vergangenen Tagen Anzeichen auf eine Spam-Kampagne. Seit vergangenen Freitag verbreitet nun großflächig ein Emotet-Botnetz die Malware. Die bösartigen E-Mails enthalten entweder eine infizierte URL oder einen Anhang.

Die Cyberkriminellen greifen auf eine bekannte Technik zurück, indem die betrügerischen E-Mails als Antwort innerhalb bestehender E-Mail-Verläufe gesendet werden. Weitere Informationen entnehmen Sie bitte der Analyse der Sicherheitsforscher.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

25 Antworten zu Microsoft warnt vor massiver Emotet-Kampagne

  1. Bolko sagt:

    Microsoft sollte besser vor MS Office und Windows warnen,
    denn ohne MS Office funktionieren diese Macros nicht
    und ohne Windows gibt es auch keine Powershell, die den Schädling nachladen könnte.

    Warum kann der Windows Defender solche schadhaften Macros nicht erkennen und blockieren?

    Welches normale Macro muss denn Powershell-Befehle benutzen, um in Word oder Excel funktionieren zu können?
    Erkennt der Defender also einen Powershell-Befehl in einem Office-Macro, dann sollte automatisch geblockt werden, aber auf so eine Idee kommt Microsoft nicht.

    Warum müssen überhaupt Word-DOC oder Excel-XLS per email verschickt werden?
    Entweder schickt man ein PDF, damit der Inhalt nicht verändert wird oder man macht eine Arbeitsgruppe, wo man gemeinsam am Document arbeitet, aber dann muss man das nicht per email verschicken.
    Es ist also eine grundsätzlich falsche Arbeitsweise.

    Wer von völlig unbekannten Absendern die mail-Anhänge öffnet, macht auch etwas falsch.

    Zumindest sollte man solche unbekannten Anhänge erstmal in einer Sandbox oder VM oder zumindest in einem anderen Benutzerkonto speichern und dann dort öffnen, wenn es denn unbedingt sein muss. Dadurch wird der Zugriff auf Daten im "richtigen" Benutzerordner verhindert und der Schädling findet nichts zum verschlüsseln.

    Um sich vor gespooften Absenderadressen zu schützen sollte man jedem bekannten Absender mitteilen, dass der seine emails zu signieren hat und unsignierte emails von diesem Absender sollte man dann grundsätzlich nicht mehr anschauen.

    Außerdem sind emails sowieso zum größten Teil völlig unnötiger Humbug, auf den man auch verzichten kann und der nur die Produktivität verringert.
    Es gilt der Grundsatz der Kommunikationsverringerung und des "Fasse dich kurz".

    Außerdem sollte man sich sowieso sehr genau überlegen, was man über einen so offenen Kanal wie email verschickt, denn die Geheimdienste lesen alles mit.
    Da nützt auch kein SSL, wenn der Host (Win10) bereits per default kompromittiert ist, weil er die Tastenanschläge mitprotokolliert.
    Die mitprotokollierten Daten werden dann in den Dateien TextHarvester.dat und WaitList.dat gespeichert und per Telemetrie an MS verschickt, um die "Benutzererfahrung zu verbessern". Durch den "Cloud-Act" können dann US-Behörden auch alles sehen, was sie haben wollen.
    Schaut man sich diese Dateien an, dann findet man dort auch Passwörter.

    Mir ist es auch ein Rätsel, wie man den EULAs von Windows 10 oder MS Office 365 zustimmen kann, denn beides kann man nicht DSGVO-konform einsetzen.

    Außerdem hat man aktuelle Backups außerhalb des Arbeits-Rechners auf einem nicht verbundenen und abgeschalteten Speicher zu haben, so dass einem verschlüsselte private Daten nichts ausmachen können.

    Emotet ist aber auch ganz nützlich, weil es den Abstieg und den Abschied von Windows beschleunigen kann.

    • Steter Tropfen sagt:

      Das ist mir zu wirklichkeitsfremd. Die Menschheit ist nun mal bequem.

      Genauso könnte man fragen, warum die Leute sich ungesund ernähren oder mit ihrem Verhalten munter das Klima ruinieren. Sogar diejenigen, die wissen, was sie anrichten, verdrängen die Schäden und machen weiter wie gehabt.
      Und gerade im Computerbereich herrscht enorm viel Unwissen – die Leute arbeiten damit, weil sie müssen, sie haben sich gerade so viel Kenntnisse angeeignet, um ihre Aufgaben erfüllen zu können. Ein Überblick über die Zusammenhänge und Gefahren fehlt völlig. Schon bei sozialen Netzwerken denken die Leute nicht weiter als von sich bis zum Chatpartner. Je mehr die Digitalisierung um sich greift, desto mehr Unerfahrene mischen mit und sind leichte Opfer.

      Die Emotet-Angreifer nutzen die Möglichkeiten, die ihnen die Technik bietet. Wäre Powershell dicht, würden sie sich andere Vehikel suchen. Würde alle Welt Windows den Rücken kehren, ginge es eben Linux-Nutzern an den Kragen. Wo kriminelle Energie ist, findet sich auch eine Sicherheitslücke.

      Emotet wird weder den Abstieg von Windows noch den Abschied vom Computer beschleunigen.

      • Rolf sagt:

        Das Klima kann man nicht ruinieren.Es gibt auch kein Weltklima.Früher lernte man in der Schule noch das es Klimazonen gibt.Und die meisten Zeit der Erdgeschichte war es nicht nur wärmer sondern HEISSER.
        Mehr Regen gibts übrigens wenn es wärmer ist.
        Und wer macht mit bei der Klimaangstmacherei?Gates…

      • Peter Christian sagt:

        Sehe ich genauso.

      • 1ST1 sagt:

        Powershell, CMD, VBScript, Office-Maktos, allgemein ausführbare Exe-/Batch-/… Dateien aus vom Benutzer beschreibbaren Verzeichnissem, usw. kann man unter Windows ganz einfach sperren. Man muss es eben nur tun.

      • Ärgere das Böse! sagt:

        Betreffend Klima ruinieren: Die letzte Eiszeit ist erst 10'000 Jahre vorbei. Es wird also eine Zeitlang noch heisser werden, auch wenn wir die Menschheit heute Nacht umweltfreundlich ausrotten.

    • Schrägar der Heckliche sagt:

      Wie bitte? Windows 10 hat einen eingebauten Key-Logger, der die Tastatur-Anschläge – auch noch unverschlüsselt – in einer Datei namens "TextHarvester.dat" speichert? Das wäre mir neu. Wo finde ich diese Datei?

      • Bolko sagt:

        Barnaby Skeggs hat die beiden Dateien analysiert und Passwörter und Sonstige Texte aus emails etc drin gefunden.

        Die WaitList.dat enthält Texte, die der Such-Indexer verarbeitet.
        Die TextHarvester.dat enthält Daten über die Benutzereingaben.

        Folge dem Link in seinem Tweet:
        https://twitter.com/barnabyskeggs/status/1033754610429657088?ref_src=twsrc%5Etfw

        Skeggs wurde auch in diversen Fachzeitschriften interviewt, wo er auch in Details ging.

        Der Windows Search Indexer schreibt seine Daten auch da rein.

        Zitate:
        "The user doesn't even have to open the file/email, so long as there is a copy of the file on disk, and the file's format is supported by the Microsoft Search Indexer service," Skeggs told ZDNet.

        "On my PC, and in my many test cases, WaitList.dat contained a text extract of every document or email file on the system, even if the source file had since been deleted," the researcher added.

        Furthermore, Skeggs says WaitList.dat can be used to recover text from deleted documents.

        "If the source file is deleted, the index remains in WaitList.dat, preserving a text index of the file,"

        "For example, if an attacker has access to a system or has infected that system with malware, and he needs to collect passwords that have not been stored inside browser databases or password manager vaults, WaitList.dat provides an alternative method of recovering a large number of passwords in one quick swoop. Skeggs says that instead of searching the entire disk for documents that may contain passwords, an attacker or malware strain can easily grab the WaitList.dat and search for passwords using simple PowerShell commands."

    • Info sagt:

      > Die mitprotokollierten Daten werden dann in den Dateien
      > TextHarvester.dat und WaitList.dat gespeichert und per
      > Telemetrie an MS verschickt, um die "Benutzererfahrung
      > zu verbessern".

      Auch wenn ich das "jetzt" nicht bestätigen kann.

      [Habe mir aktuell dazu Gedanken gemacht!]
      [2020-07 Updates (W10 1909 (Build xxxxx.959)]
      Es wurden, unter Anderem, angebliche Verbesserungen der Sicherheit im Bereich Tastatur/Maus vollzogen.

      Ich habe teilweise spürbare Verzögerungen bei der Eingabe über eine Externe Microsoft-Funktastatur festgestellt, das ist neu – selbst gerade beim Schreiben im Blog. Der Gedanke an Key-Logger kam mir sofort in den Sinn – und es liegt nicht am Akku…

      Sogar beim klicken mit der Funk-Maus hat sich irgendetwas verändert…
      Man wird ja schon bald leicht Paranoid bei der Bande!

    • Seita sagt:

      Zum Verdacht des Keyloggers.
      Einfach mal den Artikel lesen und auch die Verlinkungen.
      Da klärt sich einiges auf.

      https://www.borncity.com/blog/2014/04/22/datei-textharvester-dat-nicht-lschbar/

      Soviel zu:
      Die mitprotokollierten Daten werden dann in den Dateien TextHarvester.dat und WaitList.dat gespeichert und per Telemetrie an MS verschickt,…

      Vielleicht vorher mal die Fakten checken.

      • 1ST1 sagt:

        Bis da hin komme ich unter 2004:

        C:\Users\xxxx\AppData\Local\Microsoft\InputPersonalization

        Den Textharvbester-Ordner gibts da nicht.

        Und nun?

    • 1ST1 sagt:

      Schöne Theorie. Was ist wenn die nächste Schadcode-Welle als Bash-Script daher kommt, und z.B. per wget eine Binary irgendwo herunterlädt, und ausführt, und dann alle möglichen Linux-Zerodays nutzt, um sich Rootrechte anzueignen, und dann anfängt sämtliche erreichbare Filesysteme verschlüsselt? Du gaubst, diese Linux-Zerodays gibt es nicht? Ich erinnere an die jahrelang offenstehenden und bis vor kurzem unentdeckten Lücken in Samba, OpenSSH, OpenVPN, Bind, usw. Ok, inzwischen, seit dem der verwundbare Code vor teils vor 10…20 Jahren geschrieben und solange verwundbar, inzwischen gefixt ist, aber sei sicher, das wird auch im unverwundbaren Linux nicht die letzte ausnutzbare Lücke gewesen sein. Oder ich erinnere an diese tollen fertigen Docker-Container die man überall runterladen und laufen lassen kann, in denen teils uralte Programmversionen integroert sind, die kein Root-Passwort haben, usw. Da gibts genug Angriffspunkte, um sich eben genau unter Linux nicht beruhigt, überlegen und sicher zurücklehnen zu können.

    • 1ST1 sagt:

      "Warum kann der Windows Defender solche schadhaften Macros nicht erkennen und blockieren?"

      Sobald entsprechende Signaturen da sind, erkennt Defender die. Die Angreifer verändern diese Makros und Scripte aber ständig, so dass die Signaturen schnell veraltet sind.

      Außerdem wird der Programmcode dieser Makros verschleiert, da steht nicht im Klartext, lade jetzt mal http://hackerdomain.com/emotet.exe herunter und starte das, sondern diese Adressen und Befehle werden erst aus teils mehreren MB großen Strings per logischer Verknüpfung (AND/OR/XOR), mathematischen Operationen, verschiedensten String-Operationen usw. der eigentliche Befehlscode erzeugt und ausgeführt. Außerdem stehen da jede Menge Befehle drin, die gar keine Wirkung haben oder per OnErrorResume einfach ignoriert werden, das muss man erstmal bdurchschauen. Ich habe mal so zwei Schadcode-VBS, die per Mail kamen, versucht zu analysieren und zu entschlüsseln, teils ist mir das auch gelungen, aber nach 4 Abenden habe ich aufgegeben, das brauchte mir zu viel Zeit. Man muss wirklich feststellen, die Leute, die diese Schadcode-Dropper als VBS oder Office-Macro schreiben, die haben es wirklich drauf.

      "Welches normale Macro muss denn Powershell-Befehle benutzen, um in Word oder Excel funktionieren zu können?"

      Die Funktion heißt "PowerQuery" und sie ist durchaus in manchen Bereichen im kaufmännischen, im Ingenieurswesen oder in der Wissenschaft interessant, etwa um Daten aus der Lagerbuchhaltung, aus Messgeräten oder Produktionsmaschinen in den unterschiedlichsten Datenformaten auszulesen und z.B. in Excel zu importieren und automatisiert in ein Word-Dokument zu übertragen. Übrigens auch LibreOffice beherrscht so etwas, man informiere sich mal über "DDE".

      "Warum müssen überhaupt Word-DOC oder Excel-XLS per email verschickt werden?"

      Das ist eine berechtigte Frage, denn beide Formate können Makros enthalten und sind seit Office 2008, also seit 12 Jahren schlicht veraltet. Neuere Office-Versionen verwenden die Dateiformate DOCX, XLSX usw für Dokumente OHNE Makros, und DOCM, XLSM usw. für Dateien MIT Makros. Da kann man dann durchaus bei ausgehenden oder eingehenden Mails auf dem Mailgateway eingreifen und Makro-enthaltende Office-Dateien schlicht sperren. Übrigens können auch Libre-Office-Dateien Makros enthalten, aber man kann diese nicht anhand der Dateiendung unterscheiden.

      "Entweder schickt man ein PDF, damit der Inhalt nicht verändert wird oder man macht eine Arbeitsgruppe, wo man gemeinsam am Document arbeitet, aber dann muss man das nicht per email verschicken."

      Und was ist bei Firmen-übergreifenden Arbeitsgruppen, wenn z.B. ein Schreiner und ein Steinmetz gemeinsam an einem Auftrag für eine Küche mit Marmorarbeitsfläche arbeiten? Oder ein Automobilhersteller gemeinsam mit einem Lieferenaten ein neues Bauteil spezifizieren und dokumentieren? Kann man nicht mit einer PDF…

      "Wer von völlig unbekannten Absendern die mail-Anhänge öffnet, macht auch etwas falsch."

      Im Prinzip richtig, aber wenn es ein Vertriebler bei einem Hersteller oder Zwischenhändler ist, der von einem vermeintlichen neuen Kunden eine Mail mit einer Anfrage mit einem angehängten Dokument bekommt, in dem der Auftrag näher spezifizieret ist?

      "Zumindest sollte man solche unbekannten Anhänge erstmal in einer Sandbox oder VM oder zumindest in einem anderen Benutzerkonto speichern und dann dort öffnen, wenn es denn unbedingt sein muss. Dadurch wird der Zugriff auf Daten im "richtigen" Benutzerordner verhindert und der Schädling findet nichts zum verschlüsseln."

      Im Prinzip richtig, aber was ist wenn der Angriffscode die Sandbox erkennt oder sogar angreifen kann? Gibts alles!

      "Um sich vor gespooften Absenderadressen zu schützen sollte man jedem bekannten Absender mitteilen, dass der seine emails zu signieren hat und unsignierte emails von diesem Absender sollte man dann grundsätzlich nicht mehr anschauen."

      Das ist die graue Theorie. Die Praxis sieht so aus, dass viele potentielle Kunden das mit den Signaturen nicht beherrschen. Außerdem, was ist mit neuen potentiellen Kunden, wie läuft da der Erstkontakt ab? Spoofing zu erkennen, ist eine Sache, die diverse Mailappliances, die man vor seinen Exchange-Server davor schalte kann, automatisch erkennt. Und gekaperte echte Mailadressen kann man auch nicht per Spoofing-Erkennung erkennen. Emotet macht genau das.

      "Außerdem sind emails sowieso zum größten Teil völlig unnötiger Humbug, auf den man auch verzichten kann und der nur die Produktivität verringert.
      Es gilt der Grundsatz der Kommunikationsverringerung und des "Fasse dich kurz"."

      Schon wieder die graue Theorie. Emotetmails sind meistens genau drei Zeilen lang, mit angehängtem Zitat einer echten Mail von dir oder meinetwegen auch von mir, die sich also auf einen von Emotet erbeuteten Bezug aus der Vergangenheit beziehen. Ich hatte bei uns schon dutzende solche Mais zur Begutachtung und habe auch unseren Mailfilter auf diese Muster angelernt, zu 99% macht er es derzeit richtig und schiebt die in den Spam-Ordner.

      "Da nützt auch kein SSL, wenn der Host (Win10) bereits per default kompromittiert ist, weil er die Tastenanschläge mitprotokolliert."

      Jetzt kommt der Aluhut…

      "Außerdem hat man aktuelle Backups außerhalb des Arbeits-Rechners auf einem nicht verbundenen und abgeschalteten Speicher zu haben, so dass einem verschlüsselte private Daten nichts ausmachen können."

      Du meinst sowas wie DLT-Bänder, wie sie in jeder Firma zum Einsatz kommen, um jede Nacht ein Backup aller Daten zu machen? Du solltest IT-Berater werden…

      "Emotet ist aber auch ganz nützlich, weil es den Abstieg und den Abschied von Windows beschleunigen kann."

      Das ist der größte Bullshit von deinem ganzen Beitrag. Beschäftige dich mal mit dem Thema "Windows-Hardenig", mit Stichworten wie "Tier-Modell", "Applocker", "Host-Firewall", usw. Ähnliche Themen gibts auch unter Linux, Apparmor, Selinux, iptables, usw. um mal ein paar zu nennen, macht das jeder?

      • Bolko sagt:

        Du fixierst dich zu sehr auf den Spezialfall "Firmen" und da auf große Firmen.
        Normale private User haben ganz sicher keine (wieder Spezialfall) DLT-Bänder im Einsatz und die sind auch nicht überall im Einsatz.
        Die genaue technische Art der Sicherung ist erstmal auch total egal, solange sie eben erfolgt und danach dem Zugriff eines Angreifers entzogen ist.

        Applocker ist für Win7-Home-User auch nicht verfügbar, außer über den Umweg von Skantaks SAFER oder c'ts Restrictor.

        Bezüglich "Firewall" sagt das BSI, dass die auf Linux gar nicht nötig sind, weil da sowieso keine Ports offen sind.
        Das ist ein Unterschied zu Windows.
        SUSE Linux zB aktiviert aber trotzdem die Firewall standardmäßig.
        Dass Firewalls, die selber auf dem zu schütztenden Host-System laufen, nichts nutzen, weil die alle getunnelt werden können ist ein weiteres Problem, das falsche Sicherheit vorgaukelt.

        Bezüglich "Aluhut" sollte man aus der Snowden-Affäre und dem Cloud-Act gelernt haben.
        Also muss man sämtlichen US-Produkten (Microsoft) alles Schlechte unterstellen, etwa dass sie Daten der User in ihre Cloud kopieren und an die US-Wirtschaftsspione weiterleiten.
        Dass private Texte und Tasteneingaben in den Dateien TextHarvester.dat und waitlist.dat landen hat Barnaby Skeggs bewiesen.
        Was genau die Telemetrie dann verschickt ist weiterhin nicht entschlüsselt, aber man muss eben davon ausgehen, dass alles sichtbar ist.

        Microsoft hat mehrere sehr lange Dokumente veröffentlicht, wo sie die Telemetrie beschrieben haben.
        Zum Beispiel:
        https://docs.microsoft.com/de-de/windows/privacy/basic-level-windows-diagnostic-events-and-fields-1809

        Man beachte die Lesedauer: 322 Minuten
        Was die da alles abgreifen ist nicht gerade vertrauenerweckend.
        Sowas fällt bei Linux weg.

        • 1ST1 sagt:

          Auch die Windows-Firewall ist per Default aktiv, und sie verhält sich sogar unterschiedlich, je nach Netzwerkprofil (Privat, Öffentlich, Domäne).

          Den Telemetrieartikel auch mal gelesen, oder waren die 322 Minuten zu viel Zeit? Da steht nirgenfs was, dass private Daten abgeschröpft werden. Es geht da im wesentlichen um Betriebssystemparameter, Laufzeitdaten, Fehler im Eventlog und solche Sachen. Also im Prinzip nichts anderes, was jedes moderne Fahrzeug für die Werkstatt auch aufzeichnet.

    • Günter Born sagt:

      Zum Beitrag von Bolko gab es Erstkommentare von Blog-Lesern, die unter der Gürtellinie waren – ich zensiere nur ungerne, aber diese Kommentare mit teilweise persönlichen Beleidigungen habe ich als Spam kategorisiert und nicht mehr freigeschaltet.

      Auch die Diskussion zum Thema Klima in Richtung 'Leugnung der Klimakrise' läuft in eine Richtung, die ich eigentlich nicht hier im Blog haben möchte. Bitte da um Zurückhaltung – gibt sicher andere Blogs, wo sich Verschwörungstheorien, Eiszeiten/Warmzeiten und die vielen Wechselwirkungen wesentlich besser als in einem IT-Blog diskutieren lassen ;-).

  2. Oliver L. sagt:

    Microsoft blockt alles Makros standardmäßig. Aber die Dummheit der Menschen ist eben unendlich, und deswegen muss man eben leider trotz zahlreicher Warnmeldungen dennoch manchmal zum x-ten mal zusätzlich warnen.
    Wer als Power-User im geschäftlichen Umfeld tätig ist, weiß, wozu man bestimmte Funktionen benötigt. Der Privatanwender oftmals nicht, muss er auch nicht. Einfach die Finger von den Standardeinstellungen lassen und Warnmeldungen lesen und nicht aushebeln… Das ist bei vielen aber schon zu viel verlangt.
    Wer kein Risiko eingehen will, nimmt MS-DOS 2.11 und bleibt offline…

  3. Hans sagt:

    Nur signierte Powershellscripte und Makros zulassen. Das fängt 99% alle Probleme ab.

  4. Dekre sagt:

    Das ist ja wieder mal ein reines Thema für den Sonnabend. Ist es auch was für den Sonntag?

    Jedenfalls hat @Bolko was nicht ganz verstanden. Makros und VBA-Programmierung sind nichts böses oder schlechtes in den Office-Programmen. Sie sind sogar hilfreich und gut. Wer es nicht will, mus sich eine Schreibmaschine kaufen oder eben ein einfaches kostenloses Schreibprogramm wählen. Der Auswahl an guten sind viele.

    Das gesamte Thema haben wir hier regelmäßig. Ich will nur noch auf ein Fehler von @Bolko hinweisen, der immer wieder und regelmäßig auftaucht. Er schreibt u.a.

    "…Entweder schickt man ein PDF, damit der Inhalt nicht verändert wird…"

    Das ist mir ganz neu. Jedenfalls kann man ausgezeichnet alles einbinden, auch den Zugang zu Schadsoftware, sonstigen Krempel und direkt Schadsoftware.

    PDF-Dateien bieten sich geradezu an diese zu verändern bzw. was einzubauen. Das ist völliger Blödsinn. Der Böse (Angreifer) schickt eine PDF-Datei. Ihm ist doch völlig Wurst, ob diese signiert und verschlüsselt ist. Es kommt darauf an ein Opfer zu finden. Das kann auch kein Antivirenprogramm so direkt erkennen. Erst dann, wenn man unbedarft dann rumklickt. Dann geht aber der direkte Angriff schon los.

    • Bolko sagt:

      Es geht darum, dass der normale Empfänger ein PDF nicht verändern kann, weil der normale Empfänger an seinem Arbeitsplatz nur einen PDF-Viewer hat.

      Im Gegensatz zu DOC, kann das aber auch ein normaler Empfänger verändern, weil Word kein reiner Viewer ist.

      Ein reiner Voewer führt auch keine Macros aus.

      • Dekre sagt:

        Da täusche Dich mal nicht. Mit Foxit Reader konnte man bis zur Version 9.x PDF-Dateien erstellen. Ab Version 10.x nicht mehr. Was ist ein "normale Empfänger"? Es ist irgendwie alles diffus. Wird jetzt Opfer und Täter durcheinander gebraucht?

        Unabhängig davon wäre es ja noch schlimmer. Ich denke es wird hier einiges durcheinander geworfen. Fazit ist doch, dann mal aufpassen muss und notwendige Verhaltensweisen in der täglichen Arbeit mit E-mail etc. einhält. Der "normale Empfänger" ist dann auch nicht das Angriffsziel, es ist ggf. Beifang.

      • 1ST1 sagt:

        Komischerweise können diverse Office-Tools PDFs einlesen und wieder bearbeitbar machen.

Schreibe einen Kommentar zu Oliver L. Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.