Mouseover, Makro wurden in Spam-Kampagnen in Europa genutzt

Originalbeitrag von Rubio Wu und Marshall Chen, Threats Analysts

Während heutige Schadsoftware relativ neue Fähigkeiten mitbringt, nutzen die meisten ihrer Betreiber immer noch alte Übertragungstechniken. Bösartige Makros und Shortcut (LNK)-Dateien werden in Ransomware-, Banking-Trojaner– und gezielten Angriffen eingesetzt. Doch immer wieder lassen sich auch andere Techniken beobachten, so etwa der missbräuchliche Einsatz von legitimen Tools wie PowerShell oder speziell aufgesetzte Dateien, um aus der Ferne ein Gerät zu übernehmen. Nun fanden die Sicherheitsforscher von Trend Micro kürzlich eine weitere Methode, um Schadsoftware zu verbreiten – der Missbrauch der Aktion, die ausgelöst wird, wenn der Mauszeiger über eine mit einem Link unterlegtes Bild oder Text in einer PowerPoint-Präsentation fährt (Mouse Over).

Diese Technik nutzt einen Trojaner Downloader (TROJ_POWHOV.A und P2KM_POWHOV.A), der in einer Spam-Mailkampagne in der EMEA-Region entdeckt wurde, vor allem auf Unternehmen in Großbritannien, Polen, den Niederlanden und Schweden gerichtet.

Bösartige Mouseover liefert OTLARD/Gootkit

Der überwachte Downloader hatte eine Variante des OTLARD Banking Trojaners als Payload (TROJ_ OTLARD.TY). OTLARD, auch als Gootkit bekannt. Er entwickelte sich bald zum Information Stealing Trojaner mit Fähigkeiten wie Persistenz, Remote-Zugang, Netzwerkverkehr-Monitoring und Browser Manipulation. OTLARD/Gootkit wurde in einer Spam Kampagne in Frankreich 2015 eingesetzt, wobei die Spam-Nachricht als Brief vom Justizministerium getarnt war. Weitere Informationen dazu liefert der Originalbeitrag.

Infektionskette

Die Schadsoftware startet als Spam-Mail, die sich als Rechnung oder Auftrag tarnt, und einem bösartigen Microsoft PowerPoint Open XML Slide Show (PPSX) oder PowerPoint Show (PPS)-Dateianhang. PPS/PPSX-Dateien können anders als PowerPoint-Präsentationsdateien (PPT oder PPTX) nicht editiert werden. Sie werden als fertiges Produkt betrachtet und werden direkt im Präsentations-/Slideshow-Modus geöffnet.

Sobald das potenzielle Opfer die Datei herunterlädt oder öffnet, bedarf es einer Nutzerinteraktion – über den bösartigen Link fahren (stößt eine Mouseover-Aktion an). Microsoft deaktiviert standardmäßig den Inhalt von verdächtigen Dateien — via Protected View in neueren Office-Versionen. Damit soll das Risiko der Ausführung von bösartigen Routinen verringert werden, so etwa von Makros und Object Linking and Embedding (OLE).

Sobald der Inhalt aktiviert ist, wird ein eingebettetes bösartiges PowerShell Skript ausgeführt, das einen weiteren Downloader (JS_NEMUCOD.ELDSAUGH) als JScript Encoded File (JSE) herunterlädt, der schließlich die Payload vom Command-and-Control (C&C)-Server holt.

Bild 1: Beispiel einer bösartigen PPSX-Datei mit einer Sicherheitsnachricht

Der Trick funktioniert nicht in Microsoft PowerPoint Online oder Office 365 „web mode”, weil diese die Aktionsfunktionalität, die es in Offline/Desktop-Versionen gibt, nicht anbieten. Ein Office 365-Endbenutzer kann dennoch betroffen sein, wenn er auf sein Konto zugreift und über einen Client eine bösartige Datei öffnet.

 Warum Mouseover?

Die bösartige Mouseover-Technik benötigt keine zusätzlichen oder initialen Vektoren, um die Payload abzulegen, sodass die Infektionskette schlanker ist. In einer der von den Sicherheitsforschern analysierten Payloads, ist dies in die ppt/slides/_rels/slide1.xml.rels der Dateistruktur eingebettet:

Bild 2: Payload, eingebettet in die PPS/PPSX-Datei

Microsoft Office Dokumente wie PowerPoint-Datei sind ein Bestandteil in vielen Schadsoftware-Angriffen. Während Funktionalitäten wie Makros oder OLEs ihren Nutzen haben, sind sie auch eine gefährliche Waffe in den falschen Händen.

 Best Practices

Es ist empfehlenswert Protected View zu nutzen, das Microsoft standardmäßig aktiviert, vor allem für Dokumente, die von einer möglicherweise unsicheren Quelle heruntergeladen werden. IT-Administratoren können die riskanten Funktionalitäten auf den Maschinen über Registry-Edits deaktivieren, oder über die Implementierung von Group Policies, die die Zugriffsrechte einschränken. Dazu gehört das Prinzip des Mindestmaßes an Rechten, eingeschränkter Root-Zugang u.a. Eine weitere gute Gegenmaßnahme ist der Einsatz von Best Practices für die Nutzung und Absicherung von Tools und Services wie PowerShell, die dieser Downloader für die Ablage zusätzlicher Malware auf den Systemen nutzt.

Sind jedoch Funktionalitäten wie Makros und Mouse Hovers nötig, so sollten sie nur für die Anwendungen aktiviert werden, in denen sie gebraucht werden. Doch ist auch dies kein Garant gegen die Angriffe, denn ein Zertifikat, das ein Makro signiert, kann beispielsweise auch kompromittiert werden. Ein mehrschichtiger Sicherheitsansatz ist der Schlüssel für die Sicherheit. So kann etwa eine Sandbox helfen, die verdächtige Anhänge in Quarantäne setzt und analysiert. Datenkategorisierung und Netzwerksegmentierung reduzieren ebenfalls die Angriffsfläche.

Angesichts der Tatsache, dass Mail das Einfallstor für diese Malware ist, sollte der Schutz des Mail Gateways diese Bedrohung verringern.

Trend Micro-Lösungen

Trend Micro Endpoint-Lösungen wie Trend Micro Smart Protection Suites und Trend Micro Worry-Free Services Advanced bieten Nutzern und Unternehmen Schutz vor diesen Bedrohungen, denn sie erkennen bösartige Dateien und Spam-Nachrichten und blocken alle damit zusammenhängenden bösartigen URLs. Deep Discovery™ Email Inspector kann Unternehmen über die Erkennung vor bösartigen Anhängen und URLs schützen.

Trend Micro™ Hosted Email Security ist eine Cloud-Lösung, die Microsoft Exchange, Microsoft Office 365, Google Apps und anderen Schutz bieten kann.

Trend Micro™ Smart Protection for Endpoints mit XGen™ Security kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern.

Trend Micro Deep Discovery Inspector bietet Kunden über folgende DDI Rule Schutz:

  • DDI Rule 18 : DNS response of a queried malware Command and Control domain

Trend Micro-Products mit der Advanced Threat Scan Engine schützen über diese heuristische Regel:

  • HEUR_PPSX.SL: Suspicious command embedded in PowerPoint

Alle Empfehlungen erfolgen ohne Gewähr.

Indicators of Compromise:

Related hashes (SHA256):

  • 796a386b43f12b99568f55166e339fcf43a4792d292bdd05dafa97ee32518921 — TROJ_POWHOV.A
  • 55821b2be825629d6674884d93006440d131f77bed216d36ea20e4930a280302 — JS_NEMUCOD.ELDSAUGH
  • 55c69d2b82addd7a0cd3bebe910cd42b7343bd3faa7593356bcdca13dd73a0ef — TROJ_OTLARD.TY

Detected as P2KM_POWHOV.A (SHA256):

  • 556d9cefd63d305cb03f0a37535b3951cdb6d9d191400e40dc1a85bc2f67f720
  • ad48d4d432a76f92a52eb0869cbba754f9ea73df280a30c28eac88712bfbd479

Related C&C domains:

  • hxxp://cccn[.]nl/c[.]php
  • hxxp://cccn[.]nl/2[.]2
  • hxxp://basisinkomen[.]nl/a[.]php

IP Addressen und URLs in Zusammenhang mit den kompromittierten Websites, die als C&C-Server und zum Versenden von Spam genutzt wurden

  • hxxp://netart[.]pl
  • hxxp://chnet[.]se
  • 77[.]55[.]8[.]61
  • 85[.]128[.]212[.]154
  • 91[.]211[.]2[.]112

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*