Bösartige PowerPoint-Datei enthält Exploit und setzt Backdoor-Schädling ab

Originalartikel von Cris Pantanilla, Threat Response Engineer bei Trend Micro

Trend Micro hat ein bösartiges Microsoft PowerPoint-Dokument entdeckt, das als Dateianhang bestimmter E-Mail-Nachrichten verbreitet wird. Die Datei enthält eine eingebettete Flash-Datei, die einen Softwarefehler in bestimmten Flash Player-Versionen (CVE-2011-0611) missbraucht, um einen Hintertür-Schädling auf Anwendersystemen abzusetzen.

Eingebettete Flash-Datei

Abbildung 1: Eingebettete Flash-Datei in TROJ_PPDROP.EVL

Anwender, die das bösartige .PPT-Dokument öffnen, führen dadurch einen Shellcode innerhalb der Flash-Datei aus, der die Sicherheitslücke CVE-2011-0611 ausnützt und anschließend die bösartige Datei „Winword.tmp“ im Temporärverzeichnis ablegt. Gleichzeitig legt der Code eine nicht-bösartige PowerPoint-Präsentation mit dem Namen „Powerpoint.pps“ ab. Dadurch wird bei den Anwendern der Eindruck erweckt, bei der bösartigen Datei handle es sich schlicht um eine weitere unauffällige Präsentation. Die Trend Micro-Analyse hat jedoch ergeben, dass es sich bei „Winword.tmp“ um einen Hintertür-Schädling handelt. Dieser baut Verbindungen zu Webseiten im Internet auf, um mit den möglicherweise kriminellen Hintermännern zu kommunizieren. Außerdem ist der Schädling in der Lage, weitere Schadsoftware herunterzuladen sowie auszuführen und dadurch die infizierten Systeme weiteren, möglicherweise sogar gefährlicheren Bedrohungen wie zum Beispiel Spionagesoftware auszusetzen.

Trend Micro erkennt die bösartige PowerPoint-Datei als TROJ_PPDROP.EVL und den abgelegten Backdoor-Schädling als BKDR_SIMBOT.EVL. Anderweitige Berichte sowie Analysen von Trend Micro bestätigen, dass diese Art von Schadsoftware in der Vergangenheit für gezielte Angriffe genutzt wurde.

Entschlüsselter Binärcode

Abbildung 2: Entschlüsselung des eingebetteten Binärcodes in TROJ_PPDROP.EVL

Die neueren Bedrohungen beschränken sich nicht mehr auf schädliche Dateien, die sich als gewöhnliche Binärdateien wie zum Beispiel .EXE-Dateien in E-Mail-Anhängen verstecken. Diese speziell präparierten Dateien lassen sich vielmehr in allgemein verbreitete Dateien wie PDF, DOC, PPT oder XSL einbetten. In dem hier beschriebenen Fall bemerken die Anwender die Attacke nicht, da TROJ_PPDROP.EVL als Köder eine ungefährliche PowerPoint-Datei benutzt und anzeigt.

Auf Sicherheitslücken ist Verlass: Effektive Einfallstore für Infektionen

Der vorliegende Fall zeigt ferner, dass Cyberkriminelle bekannt gewordene Sicherheitslücken in beliebter Software wie Microsoft-Office-Anwendungen, Flash usw. zu ihrem Vorteil nutzen. In einem früheren Blogeintrag hat Trend Micro aufgedeckt, dass bekannte Softwarefehler älteren und neueren Datums wie CVE-2010-3333 oder CVE-2012-0158 weiterhin von den Angreifern für ihre Zwecke missbraucht werden. Die Tatsache, dass die meisten Anwender ihre Systeme nicht regelmäßig mit den neuesten Sicherheitsaktualisierungen absichern, erklärt, warum die Angreifer diese Fehler immer wieder ausnutzen.

Trend Micro schützt Anwender vor dieser Bedrohung mit dem Smart Protection Network™, das die entsprechenden E-Mail-Nachrichten sowie Webadressen blockt und TROJ_PPDROP.EVL sowie BKDR_SIMBOT.EVL entdeckt. In der heutigen Zeit, in der einfache Dokumente zu Informationsdiebstählen führen können, sollten Anwender besondere Vorsicht walten lassen, bevor sie Dateien aus E-Mail-Nachrichten herunterladen oder öffnen, insbesondere jene von unbekannten Absendern. Außerdem sollten Anwender stets die neuesten Sicherheitsaktualisierungen auf ihren Systemen einspielen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*