Polizei warnt vor gefährlichen E-Mails

Angriffe mit OneNote-Dateien

Das Landeskriminalamt Baden-Württemberg warnt vor einer aktuellen Cyber-Angriffswelle per E-Mail. Die schädliche Software befindet sich in Anhängen mit den Endungen ".one" und ".html".

Angriffe mit OneNote-DateienFoto: Intpro/shutterstock.com

Die Angreifer verwenden sogenannte OneNote-Dateien. Diese Dateien besitzen in der Regel die Dateiendung .one und können bösartig programmierte Bestandteile enthalten. Die Manipulation der Dateien ist für Empfänger nicht erkennbar. Führen die Anwender die manipulierte One-Datei aus, initialisiert sich ein enthaltenes Skript (Programm), das unbemerkt zum Download von Schadsoftware führt. Andere Cyberkriminelle versenden schädliche Datei-Anhänge im Format .htm oder .html. Die Aktivierung der Dateien kann zur Ausführung enthaltener schädlicher Skripte wie beispielsweise JavaScript führen.

Die Absender täuschen oftmals die Identität und die E-Mail-Adresse von bekannten E-Mail-Kontakten vor. Der Text der E-Mail weist plausible Inhalte auf und soll den Empfänger der E-Mail zum Aktivieren der beigefügten Datei-Anlage oder Download-Links verleiten.

Empfehlungen der Polizei:

  •  Veranlassen Sie unverzüglich die Einrichtung technischer Gegenmaßnahmen durch die IT-Fachkräfte Ihrer Institution. Diese Maßnahmen sollten im Alltag dauerhaft eingerichtet sein und sich auch auf andere kritische Dateitypen beziehen.
  • Blockieren Sie E-Mail-Anhänge und Downloads, die OneNote-Dateien (.one, .onetoc2, onepkg) enthalten und deren Ausführbarkeit. • Sofern Sie reguläre OneNote-Dateien verwenden: Richten Sie technische Gruppenrichtlinien ein, die in OneNote-Dateien enthaltene unsignierte Skripte blockieren.
  • Verwenden Sie für Microsoft-Systeme unbedingt Schutzfunktionen wie WDAC, SRP und AppLocker.
  • Blockieren Sie die Möglichkeit des Downloads ausführbarer und sonstiger kritischer Dateien aus dem Internet und die Aktivierung dieser Dateitypen durch Anwender (insbesondere .js, .hta und .dll). Beziehen Sie auch die Benutzerprofile der Anwender ein. Ausschließlich von IT-Fachkräften geprüfte und freigegebene Dateien sollten ausführbar sein (Whitelist).
  • Deaktivieren oder beschränken Sie unbedingt die Verwendung von PowerShell
  • Deaktivieren oder beschränken Sie Windows Script Host und MSHTA.
  • Prüfen Sie die Möglichkeit der Deaktivierung von Skripten wie JavaScript in allen verwendeten Browsern Ihrer Institution. Deinstallieren oder deaktivieren Sie veraltete Browser wie den Internet Explorer.
  • Der Hersteller Microsoft hat Updates zur Reduzierung des Risikos angekündigt. Wie für alle zur Verfügung stehenden Updates gilt: Installieren Sie Sicherheitsupdates zeitnah nach der Veröffentlichung.
  • Die übergangsweise Umleitung aller E-Mails und Downloads, die OneNoteDateien beinhalten, in gesicherte Bereiche, ist empfehlenswert. Die ITFachkräfte sollten diese Dateien vor der Weiterleitung an die Anwender einer intensiven Prüfung unterziehen.
  • Unabhängig von der aktuellen Problematik ist die Deaktivierung aktiver Inhalte in E-Mails sinnvoll,

Die Zentrale Ansprechstelle Cybercrime beim Landeskriminalamt Baden-Württemberg bietet Unternehmen weitere Hilfestellung.

Zur Übersicht