Hacker verwenden neuen Trick, um Makro-Sicherheitswarnungen in bösartigen Office-Dateien zu deaktivieren

  • Während es bei Phishing-Kampagnen, die waffenfähige Microsoft Office-Dokumente verbreiten, üblich ist, die Opfer aufzufordern, Makros zu aktivieren, um die Infektionskette im Hintergrund auszulösen, deuten neue Erkenntnisse darauf hin, dass Makro-Sicherheitswarnungen vollständig deaktiviert werden können, ohne dass eine Benutzerinteraktion erforderlich ist.

    In einem weiteren Fall von Malware-Autoren, die ihre Techniken weiterentwickeln, um sich der Erkennung zu entziehen, stießen Forscher von McAfee Labs auf eine neuartige Taktik, die “bösartige DLLs (ZLoader) herunterlädt und ausführt, ohne dass bösartiger Code im ursprünglichen Makro des Spam-Anhangs vorhanden ist.”

    [Blocked Image: https://thehackernews.com/images/-9r3EBoAeEj4/YMt1nGWkOMI/AAAAAAAA4Qk/feJCltGJrFcMPYuba5Ihr7WgYxNB6oG-gCLcBGAsYHQ/s300-e100/free-ad-7-300.png]

    McAfee zufolge wurden ZLoader-Infektionen, die sich über diesen Mechanismus verbreiten, vor allem aus den USA, Kanada, Spanien, Japan und Malaysia gemeldet. Die Malware – ein Nachfahre des berüchtigten ZeuS-Bankentrojaners – ist dafür bekannt, dass sie aggressiv makroaktivierte Office-Dokumente als anfänglichen Angriffsvektor nutzt, um Anmeldedaten und persönliche Informationen von Benutzern der anvisierten Finanzinstitute zu stehlen.

    Bei der Untersuchung der Eindringlinge fanden die Forscher heraus, dass die Infektionskette mit einer Phishing-E-Mail begann, die einen Microsoft Word-Dokumentanhang enthielt, der beim Öffnen eine kennwortgeschützte Microsoft Excel-Datei von einem Remote-Server herunterlud.

    [Blocked Image: https://thehackernews.com/images/-lPLF-sqQMLg/YOfhB_73S6I/AAAAAAAADI4/SeXaH7GeYGkJaCDRysjrC3UNn7zmktdkgCLcBGAsYHQ/s0/code.jpg]

    “Nach dem Herunterladen der XLS-Datei liest das Word-VBA die Zellinhalte aus XLS und erstellt ein neues Makro für dieselbe XLS-Datei und schreibt die Zellinhalte als Funktionen in XLS-VBA-Makros”, so die Forscher. “Sobald die Makros geschrieben und fertig sind, setzt das Word-Dokument die Richtlinie in der Registrierung auf ‘Disable Excel Macro Warning’ und ruft die bösartige Makrofunktion aus der Excel-Datei auf. Die Excel-Datei lädt nun die Zloader-Nutzlast herunter. Die Zloader-Nutzlast wird dann mithilfe von rundll32.exe ausgeführt.”

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    Angesichts des “erheblichen Sicherheitsrisikos”, das von Makros ausgeht, ist die Funktion in der Regel standardmäßig deaktiviert, was die Bedrohungsakteure dazu veranlasst, einen überzeugenden Köder auszuspielen, um die Opfer dazu zu bringen, sie zu aktivieren. Durch das Ausschalten der Sicherheitswarnung, die dem Benutzer präsentiert wird, sind die Angriffe bemerkenswert wegen der Schritte, die er unternimmt, um die Erkennung zu vereiteln und unter dem Radar zu bleiben.

    “Bösartige Dokumente sind ein Einstiegspunkt für die meisten Malware-Familien, und diese Angriffe haben ihre Infektionstechniken und Verschleierung weiterentwickelt, indem sie sich nicht nur auf das direkte Herunterladen von Nutzdaten aus VBA beschränken, sondern auch dynamisch Agenten erstellen, um Nutzdaten herunterzuladen”, so die Forscher. “Die Verwendung solcher Agenten in der Infektionskette ist nicht nur auf Word oder Excel beschränkt, sondern weitere Bedrohungen können auch andere “living off the land”-Tools verwenden, um ihre Payloads herunterzuladen.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com