Makros als Infektionsvektor sind wieder da

Originalartikel von Erwina Dungca, Threat Response Engineer

Angriffe über Makros begannen in den ersten Jahren des neuen Jahrtausends und machten dann mit dem Melissa-Virus viel negative Schlagzeilen. Doch schon bald verschwanden diese Angriffe in der Versenkung, zum einen wahrscheinlich, weil die Sicherheitsmaßnahmen von Micorosoft die bösartigen Dateien ins Visier nahmen, zum anderen aber auch, weil die Cyberkriminellen einfach neue Methoden entdeckten. Nun sind diese Bedrohungen wieder im Anmarsch.

Kürzlich entdeckten die Sicherheitsforscher einen Angriff, der Makro-basierte Dateien verwendete, um die Bedrohungen bei den Nutzern abzulegen.

Makro-aktivierte Dateien führen ZBOT mit sich

TSPY_ZBOT.DOCM kommt über einen E-Mail-Anhang, den die Sicherheitsforscher als W97M_SHELLHIDE.A identifiziert haben. Diese E-Mail tarnt sich als Benachrichtigung einer Kanzlei über „mögliche betrügerische Aktivitäten“ mit Beteiligung des Empfängers.


Bild 1. Beispiel der Spam-Nachricht

Öffnet der Empfänger das Dokument, so findet er folgende Nachricht: „Diese Musternachricht (redigiert) kann nur mithilfe von Makros gelesen werden. Bitte aktivieren Sie Makros.“ Das Dokument scheint, bis auf die Anleitungen, leer zu sein. Doch die Analyse hat gezeigt, dass das Dokument die Schadsoftware in ASCII-Hex-Form enthält, die sich hinter weißer Schrift verbirgt.

Sobald die Makros aktiviert sind, läuft das Skript, das die Schadsoftware ablegt. Das Makro wandelt die ASCII-Hex-Form in ein traditionelles Binary um. Die Schadsoftware kann dann auf dem infizierten System laufen und Informationen von der Maschine entwenden.


Bild 2. Das Dokument scheint leer zu sein, doch verbirgt sich darin hinter weißer Schrift die Schadsoftware

Makro-Datei führt zu Backdoor

Auch fanden die Sicherheitsforscher eine weitere bösartige Datei mit aktivierten Makros als Anhang einer E-Mail mit Hinweis auf eine Geldanweisung. Auch diese Datei ist scheinbar leer und enthält nur eine Nachricht zur Aktivierung von Makros. Sobald dies geschehen ist, verbindet sich der Anhang (W97M_SHELLHIDE.B) mit dem Internet, lädt BKDR_NEUREVT.DCM herunter und führt den Schädling aus.

Nutzung von .DOCM-Dateien als effizienter Angriffsvektor

Diese Angriffe zeigen, dass alte Techniken immer noch genauso effektiv sein können wie die neueren. Angreifer müssen zwar das Opfer dazu bringen, Makros zu aktivieren, doch tun sie dies mit Hilfe von Social Engineering-Taktiken. Die Mail-Nachrichten sind so aufgesetzt, dass sie Wichtigkeit und Dringlichkeit suggerieren. Es gibt verschiedene Anwendungen, die Makros nützen, doch Cyberkriminelle haben sich für Microsoft Word entschieden, weil Office immer noch die am weitesten verbreitete Bürosoftware ist.

.DOCM-Dateien stellen ungewöhnliche Infektionsvektoren dar, weil sie relativ neu sind. Microsoft hat diese Extension erst mit Office 2007 eingeführt, zusammen mit dem .DOCX-Format. Nutzer, die daran gewöhnt sind, .PDF- oder .DOC-Dateien misstrauisch zu betrachten, können solchen Angriffen leicht zum Opfer fallen.

Als Konsequenz sollten Nutzer immer vorsichtig mit E-Mail-Anhängen umgehen, auch mit solchen von bekannten Absendern. Da die einfachste Möglichkeit, eine .DOCM-Datei zu öffnen, der Doppelklick ist, könnten bösartige Dateien mit Schadsoftware wie ZBOT auch ausgeführt werden.

Datei-Extensions sollten nie der einzige Hinweis auf Sicherheit sein, weil sie einfach nachzuahmen sind. Auch kann Office Dateien öffnen und lesen, wenn deren Extension geändert wurde. Als Schutz vor Makro-basierten Angriffen ist es empfehlenswert, die Makrosicherheits-Funktionalität in Office-Anwendungen zu aktivieren.

Zusätzliche Analysen von Mark Manahan.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*