Anhänge von Word-Dokumenten, die Malware verbreiten, fragen nicht mehr nach der Aktivierung von Makros
Spam-E-Mails mit bösartigen Anhängen sind seit vielen Jahren die Methode, die 93 % der Malware ausführte[1] für die letzten paar Jahre. Nach den neuesten Nachrichten von Trustwave SpiderLabs zu urteilen[2] Forschern scheint die Verbreitung von Schadsoftware, vor allem Trojaner, Spyware, Keylogger, Würmer, und Ransomware, hängt außerdem davon ab, wie viele bösartige E-Mail-Anhänge die Leute öffnen werden. Dennoch werden Hacker eine wichtige Änderung vornehmen – von nun an können die Leute Spam erhalten mit bösartigen Word-Dokument-, Excel- oder PowerPoint-Anhängen, ohne dass ein Makro ausgeführt werden muss Skript. Wenn frühere Malware nur ausgeführt wurde, als das potenzielle Opfer Makros aktivierte,[3] Jetzt wird es durch einen Doppelklick auf einen E-Mail-Anhang aktiviert.
Makrolose Technik ist bereits im Einsatz
Obwohl es Forschern erst Anfang Februar gelang, es zu entdecken, scheint es, dass die Makrolose Technologie wurde viel zu früher veröffentlicht und potenzielle Opfer haben dies möglicherweise bereits getan sie erhalten.
Diese neue Spam-Kampagne ohne Makros verwendet bösartige Word-Anhänge, die eine vierstufige Infektion aktivieren, die die Sicherheitsanfälligkeit im Office Equation Editor (CVE-2017-11882), um Codeausführung aus der E-Mail des Opfers, FTP und. zu erhalten Browser. Microsoft hatte die Schwachstelle CVE-2017-11882 bereits im vergangenen Jahr gepatcht, viele Systeme erhielten den Patch jedoch aus welchen Gründen auch immer nicht.
Die makrofreie Technik zur Verbreitung von Malware ist Bestandteil eines .DOCX-formatierten Anhangs, während der Ursprung der Spam-E-Mail das Necurs-Botnet ist.[4] Laut Trustwave kann das Thema variieren, aber alle haben eine finanzielle Beziehung. Es wurden vier mögliche Versionen festgestellt:
- TNT-RECHNUNGSRECHNUNG
- Angebotsanfrage
- Telex-Übertragungsbenachrichtigung
- SCHNELLE KOPIE ZUR ZAHLUNG DES GESAMT
SpiderLabs hat bestätigt, dass der bösartige Anhang mit allen Arten von Spam-E-Mails ohne Makros übereinstimmt. Demnach heißt der .DOCX-Anhang „Receipt.docx“.
Die Kette der makrofreien Verwertungstechnik
Der mehrstufige Infektionsprozess beginnt, sobald das potenzielle Opfer die .DOCX-Datei öffnet. Letzteres löst ein eingebettetes OLE-Objekt (Object Linking and Embedding) aus, das externe Verweise auf Hacker-Server enthält. Auf diese Weise erhalten Hacker Fernzugriff auf OLE-Objekte, auf die in der document.xml.rels verwiesen werden soll.
Spammer nutzen die Word- (oder .DOCX-formatierten) Dokumente aus, die mit Microsoft Office 2007 erstellt wurden. Diese Art von Dokumenten verwendet das Open XML-Format, das auf XML- und ZIP-Archivierungstechnologien basiert. Angreifer fanden einen Weg, diese Technologien sowohl manuell als auch automatisch zu manipulieren. Danach beginnt die zweite Stufe nur, wenn der Benutzer des PCs die schädliche .DOCX-Datei öffnet. Wenn die Datei geöffnet wird, stellt sie die Remote-Verbindung her und lädt eine RTF-Datei (Rich Text File Format) herunter.
Wenn der Benutzer die DOCX-Datei öffnet, veranlasst dies den Zugriff auf eine Remote-Dokumentdatei über die URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Dies ist eigentlich eine RTF-Datei, die heruntergeladen und ausgeführt wird.
So sieht die makrolose Malware-Ausführungstechnik schematisch aus:
- Ein potenzielles Opfer erhält eine E-Mail mit einer angehängten .DOCX-Datei.
- Er doppelklickt auf den Anhang und lädt ein OLE-Objekt herunter.
- Jetzt öffnet sich schließlich die vermeintliche Doc-Datei, die in Wirklichkeit RTF ist.
- Die DOC-Datei nutzt die Schwachstelle CVE-2017-11882 Office Equation Editor aus.
- Der Schadcode führt eine MSHTA-Befehlszeile aus.
- Dieser Befehl lädt eine HTA-Datei herunter und führt sie aus, die VBScript enthält.
- Das VBScript entpackt ein PowerShell-Skript.
- Anschließend installiert das Powershell-Skript die Malware.
Halten Sie das Windows-Betriebssystem und Office auf dem neuesten Stand, um sich vor Malware-Angriffen ohne Makros zu schützen
Cybersicherheitsexperten haben noch keine Möglichkeit gefunden, die E-Mail-Konten von Benutzern vor Necurs-Angriffen zu schützen. Einen hundertprozentigen Schutz wird man wahrscheinlich gar nicht finden. Der wichtigste Rat ist, sich von zweifelhaften E-Mail-Nachrichten fernzuhalten. Wenn Sie nicht auf ein offizielles Dokument gewartet haben, aber eines aus dem Nichts erhalten, fallen Sie nicht auf diesen Trick herein. Untersuchen Sie solche Nachrichten auf Grammatik- oder Tippfehler, denn offizielle Behörden werden kaum Fehler in ihren offiziellen Mitteilungen hinterlassen.
Neben der Sorgfalt ist es wichtig, Windows und Office auf dem neuesten Stand zu halten. Diejenigen, die Auto-Updates für längere Zeit deaktiviert haben, sind einem hohen Risiko schwerer Virusinfektionen ausgesetzt. Veraltete Systeme und darauf installierte Software können Schwachstellen wie CVE-2017-11882 aufweisen, die nur durch die Installation der neuesten Updates behoben werden können.