Microsoft Office-Anwender vor neuer Malware-Schutzumgehung gewarnt

  • Word- und Excel-Dokumente werden dazu benutzt, Office-Makro-Warnungen zu deaktivieren, so dass die Zloader-Banken-Malware auf Systeme heruntergeladen werden kann, ohne dass Sicherheits-Tools dies bemerken.

    Ältere Benutzer von Microsoft Excel sind das Ziel einer Malware-Kampagne, die eine neuartige Malware-Verschleierungstechnik verwendet, um die Office-Abwehr zu deaktivieren und den Zloader-Trojaner zu übertragen.

    Laut einer am Donnerstag von McAfee veröffentlichten Untersuchung verbindet der Angriff Funktionen in Microsoft Office Word und Excel so, dass sie zusammenarbeiten, um die Zloader-Nutzlast herunterzuladen, ohne eine Warnung für Endbenutzer vor dem bösartigen Angriff auszulösen.

    Zloader ist ein Banking-Trojaner, der entwickelt wurde, um Anmeldedaten und andere private Informationen von Nutzern gezielter Finanzinstitute zu stehlen.

    Der ursprüngliche Angriffsvektor sind Posteingangs-basierte Phishing-Nachrichten mit Word-Dokument-Anhängen, die keinen bösartigen Code enthalten. Daher wird der Angriff in der Regel nicht von einem E-Mail-Gateway oder clientseitiger Antiviren-Software blockiert.

    Die Makro-Verschleierungstechnik nutzt inzwischen sowohl die Excel-Felder für den dynamischen Datenaustausch (DDE) von Microsoft Office als auch das Windows-basierte Visual Basic for Applications (VBA), um Angriffe auf Systeme zu starten, die ältere XLS-Formate unterstützen.

    Initiale Infektionskette

    “Die Malware kommt über eine Phishing-E-Mail, die ein Microsoft Word-Dokument als Anhang enthält. Wenn das Dokument geöffnet wird und Makros aktiviert sind, lädt das Word-Dokument wiederum ein anderes kennwortgeschütztes Microsoft Excel-Dokument herunter und öffnet es”, schreiben die Forscher.

    Als nächstes liest eine in das Word-Dokument eingebettete VBA-basierte Anweisung eine speziell gestaltete Excel-Tabellenzelle, um ein Makro zu erstellen. Dieses Makro füllt eine weitere Zelle in demselben XLS-Dokument mit einem zusätzlichen VBA-Makro, das die Office-Abwehr deaktiviert.

    “Sobald die Makros geschrieben und fertig sind, setzt das Word-Dokument die Richtlinie in der Registrierung auf ‘Excel-Makrowarnung deaktivieren’ und ruft die bösartige Makrofunktion aus der Excel-Datei auf. Die Excel-Datei lädt nun die Zloader-Nutzlast herunter. Die Zloader-Nutzlast wird dann mit rundll32.exe ausgeführt”, so die Forscher.

    Wie die Obfuskation funktioniert

    Da Microsoft Office Makros automatisch deaktiviert, versuchen die Angreifer, die Empfänger der E-Mail mit einer Nachricht, die innerhalb des Word-Dokuments erscheint, dazu zu bringen, sie zu aktivieren.

    “Dieses Dokument wurde in einer früheren Version von Microsoft Office Word erstellt. Um dieses Dokument anzuzeigen oder zu bearbeiten, klicken Sie bitte auf die Schaltfläche ‘Bearbeitung aktivieren’ in der oberen Leiste und dann auf ‘Inhalt aktivieren'”, heißt es in der Meldung.

    In diesem Fall nutzen die Malware-Autoren DDE und VBA, beides Standard-Tools von Microsoft, die zum Lieferumfang von Windows gehören.

    DDE ist eine Methode zum Übertragen von Daten zwischen Anwendungen, wie z. B. Excel und Word. In diesem Fall aktualisiert der Prozess den Inhalt einer Tabellenkalkulationszelle mit Informationen aus Word. Das Word-Dokument kann dann bestimmte Excel-Zelleninhalte aus der heruntergeladenen .XLS-Datei lesen. Anschließend wird das Excel-Dokument mit den Word-basierten VBA-Anweisungen befüllt.

    VBA ist die Programmiersprache von Microsoft für Excel, Word und andere Office-Programme. Mit VBA können Benutzer mithilfe eines Tools namens Macro Recorder Befehlsketten erstellen. In diesem Fall, wie auch bei anderen Missbräuchen von VBA, erstellen die Malware-Autoren bösartige Makro-Skripte.

    “Excel zeichnet alle Schritte auf, die ein Benutzer ausführt, und speichert sie als ‘Prozess’, der als Makro bezeichnet wird. Wenn der Benutzer den Rekorder beendet, wird dieses Makro gespeichert und kann einer Schaltfläche zugewiesen werden, die genau denselben Prozess erneut ausführt, wenn sie angeklickt wird”, heißt es in einer Beschreibung von VBA.

    Excel-Makro-Warnungen deaktivieren

    Malware-Autoren erreichen die Umgehung der Warnung, indem sie Anweisungen in das Word-Dokument einbetten, um die Inhalte aus den Excel-Zellen zu extrahieren, schreiben die Forscher. Als Nächstes “erstellt die übergeordnete Word-Datei ein neues VBA-Modul in der heruntergeladenen Excel-Datei, indem sie die abgerufenen Inhalte schreibt.”

    Sobald das Excel-Makro erstellt und zur Ausführung bereit ist, ändert das Skript den RegKey von Windows, um den vertrauenswürdigen Zugriff für VBA auf dem Rechner des Opfers zu deaktivieren. Dadurch kann das Skript “die Funktion nahtlos ausführen, ohne dass Microsoft Office Warnungen ausgibt”, schreiben die Forscher.

    Nach der Deaktivierung des vertrauenswürdigen Zugriffs wird eine neue Excel-VBA erstellt und ausgeführt – was den Download von Zloader auslöst.

    “Bösartige Dokumente sind ein Einstiegspunkt für die meisten Malware-Familien, und diese Angriffe haben ihre Infektionstechniken und Verschleierung weiterentwickelt, indem sie sich nicht nur auf den direkten Download von Nutzdaten aus VBA beschränken, sondern auch dynamisch Agenten erstellen, um Nutzdaten herunterzuladen, wie wir in diesem Blog diskutiert haben”, schreiben die Forscher. “Wir schlagen vor, dass es sicher ist, (Makros) nur dann zu aktivieren, wenn das empfangene Dokument aus einer vertrauenswürdigen Quelle stammt.”

    Schauen Sie sich unsere kostenlosen kommenden Live- und On-Demand-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com