Bei den aktuellen Angriffen erhalten die Opfer eine E-Mail, an der infizierte Dokumente vom Typ .doc oder .xls anhängen. Öffnet ein Nutzer diese Dateien mit aktivierten Macros, wird Schadcode ausgeführt, der weitere bösartige Dateien aus dem Netz nachlädt. Sind Macros deaktiviert, weist Office standardmäßig auf diese Tatsache hin, wenn ein entsprechendes Dokument geöffnet wird. Das umgehen die Angreifer allerdings, indem sie den Opfern vorgaukeln, das Dokument sei mit einer "neueren Version von Office" erstellt worden und die Nutzer müssten Macros aktivieren, um es korrekt anzuzeigen. Wie man das macht, erklären sie passenderweise direkt in dem Dokument.
Der Expertenrat dazu: Wer Emails mit solchen Anhängen erhält, sollte auf keinen Fall den Wünschen des Versenders nachkommen – die Macro-Funktionen bleiben besser deaktiviert. Nutzer, die Office – Macros standardmäßig aktiviert haben, sollten diese Entscheidung in Anbetracht der jüngsten Attacken überdenken.