Bösartiges Makro kapert Desktop Shortcuts, um eine Backdoor einzuschleusen

Originalartikel von Loseway Lu

Obwohl sie seit Jahrzehnten im Umlauf sind, nutzen Cyber-Kriminelle immer noch bösartige Makros für die Verteilung von Schadsoftware – allerdings auf kreative Art und Weise, um sie effektiver zu gestalten. Die Bedrohungsakteure hinter einem aktuellen Vorfall, verwendeten ein Makro auf eine etwas umständliche Weise: Es sucht nach bestimmten Shortcut-Dateien im System des Benutzers und ersetzt sie durch welche, die auf die eigene heruntergeladene Malware verweisen. Die Malware wird ausgeführt, wenn der Benutzer auf die geänderte Desktop-Shortcut klickt. Nach der Ausführung stellt die Malware die ursprüngliche Shortcut-Datei wieder her, um die korrekte Anwendung wieder zu öffnen. Dann stellt die Schadsoftware ihre Payloads zusammen. Dafür nutzt lädt sie allgemein verfügbare Tools aus dem Internet, so etwa verschiedene Windows Tools, WinRAR und Ammyy Admin, um Informationen zu sammeln und sie über SMTP zurückzuschicken. Obwohl das Makro und die heruntergeladene Malware nicht besonders ausgeklügelt sind, ist diese Methode dennoch interessant, vor allem weil sie Anzeichen für eine Fortsetzung der scheinbar unvollendeten Entwicklung enthält.


Bild 1. Malware-Infektionskette

Damit der Angriff funktioniert, muss der Nutzer Makros aktivieren, denn Microsoft deaktiviert sie standardmäßig, um potenzielle Risiken zu vermeiden. Danach wird nach Shortcut-Dateien auf dem Desktop des Opfers gesucht und die Dateien mit entspechend verbundenen Dateien ersetzt. In erster Linie sind fünf Shortcuts interessant: Skype, Google Chrome, Mozilla Firefox, Opera und Internet Explorer. Findet das Makro einen Shortcut, so lädt es die Malware von Google Drive und GitHub herunter. Technische Einzelheiten liefert der Originalbeitrag.

Lösungen und Gegenmaßnahmen

Diese Malware, von der Verwendung des Makros bis zur Installation, zeigt ein sehr ungewöhnliches Verhalten und befindet sich wahrscheinlich noch in der Entwicklung. Die Forscher sind der Meinung, dass die Malware nicht weit verbreitet ist und bisher nur wenige Opfer hatte. Es ist jedoch wichtig, die Malware und Angriffsmethode zu kennen, da neuere und verbesserte Versionen in Arbeit sein können.

Microsoft hat Makros standardmäßig deaktiviert, da der Anbieter weiß, wie Malware-Akteure die eingebetteten Codes ausnutzen. Kenntnisse bezüglich der Makro-Settings des Systems können Nutzern helfen, das Makro optimal einzusetzen, während Angriffe mit dem Code ausgefiltert werden. Doch empfiehlt es sich im Allgemeinen, das Herunterladen und Aktivieren von Makros für Dokumente aus neuen oder unbekannten Quellen zu vermeiden.

Auf Endpoint-Ebene bieten Trend Micro Smart Protection Suites und Trend Micro Worry-Free Services Advanced Schutz, weil sie bösartige Dateien und Spam-Nachrichten erkennen und alle dazu gehörigen bösartigen URLs blocken. Mithilfe des Deep Discovery™ Email Inspector können Spam-Mails und bösartige Anhänge erkannt und geblockt werden.

Trend Micro Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie Ihr Netzwerk erreichen. Hosted Email Security schützt Microsoft Exchange, Microsoft Office 365, GoogleApps sowie viele weitere gehostete und lokale E-Mail-Lösungen. E-Mail-Verschlüsselung ist in der Basisversion bereits enthalten.

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Indicators of Compromise (IoCs) umfasst der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.