Cyberkriminelle missbrauchen Excel 4.0-Makro zur Verbreitung von Malware

Cyber Security News

Bedrohungsakteure nutzen zunehmend Excel 4.0-Dokumente als Einstiegsvektor, um Malware wie ZLoader und Quakbot zu verbreiten, so eine neue Untersuchung.

Die Ergebnisse stammen aus einer Analyse von 160.000 Excel 4.0-Dokumenten zwischen November 2020 und März 2021, von denen mehr als 90% als bösartig oder verdächtig eingestuft wurden.

[Blocked Image: https://thehackernews.com/images/-VPdopHKQm-E/YHc_0fLCVlI/AAAAAAAA3w0/c2kzWXa0ALMLtjaAeSkI0cc7-FjPV3IswCLcBGAsYHQ/s728-e100/thn-728-4.png]

“Das größte Risiko für die anvisierten Unternehmen und Einzelpersonen ist die Tatsache, dass Sicherheitslösungen immer noch große Probleme mit der Erkennung bösartiger Excel 4.0-Dokumente haben, so dass die meisten von ihnen an herkömmlichen signaturbasierten Erkennungen und von Analysten geschriebenen YARA-Regeln vorbeikommen”, so die Forscher von ReversingLabs in einem heute veröffentlichten Bericht.

[Blocked Image: https://thehackernews.com/images/-8MtdPXqQees/YIljg8VTf8I/AAAAAAAACZY/Xf-6wtn_R246i3FvCl3XZgBlVhWENMYxQCLcBGAsYHQ/s0/hacking.jpg]

Excel 4.0-Makros (XLM), der Vorläufer von Visual Basic for Applications (VBA), ist ein Legacy-Feature, das aus Gründen der Abwärtskompatibilität in Microsoft Excel integriert wurde. Microsoft warnt in seinem Support-Dokument, dass die Aktivierung aller Makros zur Ausführung von “potenziell gefährlichem Code” führen kann.

[Blocked Image: https://thehackernews.com/images/-mQKY5xqeoBY/YIlj1D3JDcI/AAAAAAAACZg/uBBBr8njDF0biW5KiSx6xmHWMb3_AKMOwCLcBGAsYHQ/s0/hacking.jpg]

Der sich ständig weiterentwickelnde Quakbot (auch bekannt als QBOT) ist seit seiner Entdeckung im Jahr 2007 ein berüchtigter Banking-Trojaner, der in der Lage ist, Bankdaten und andere Finanzinformationen zu stehlen und sich zudem wurmartig zu verbreiten. Varianten von QakBot, die in der Regel über waffenfähige Office-Dokumente verbreitet werden, sind in der Lage, andere Malware-Nutzdaten zu übermitteln, Tastatureingaben von Benutzern zu protokollieren und sogar eine Hintertür zu kompromittierten Computern zu erstellen.

[Blocked Image: https://thehackernews.com/images/-J2_tCNGDMKA/YHc_zdc4MhI/AAAAAAAA3wo/gfFnHKGV_gcrTkZ3sOMoDg5N-wg_cKOGQCLcBGAsYHQ/s300-e100/thn-300-4.png]

In einem von ReversingLabs analysierten Dokument verleitete die Malware Benutzer nicht nur mit überzeugenden Verlockungen zur Aktivierung von Makros, sondern enthielt auch eingebettete Dateien mit XLM-Makros, die eine bösartige Nutzlast der zweiten Stufe herunterladen und ausführen, die von einem Remote-Server abgerufen wurde. Ein anderes Beispiel enthielt eine Base64-kodierte Nutzlast in einem der Blätter, die dann versuchte, zusätzliche Malware von einer skizzenhaften URL herunterzuladen.

“Auch wenn Abwärtskompatibilität sehr wichtig ist, sollten einige Dinge eine Lebenserwartung haben und aus einer Sicherheitsperspektive wäre es wahrscheinlich am besten, wenn sie irgendwann veraltet wären”, so die Forscher. “Die Kosten für die Wartung von 30 Jahre alten Makros sollten gegen die Sicherheitsrisiken abgewogen werden, die die Verwendung solch veralteter Technologie mit sich bringt.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com