Palo Alto Networks hat einen einzigartigen neuen Loader für Microsoft Office analysiert, der böswillige Makros verwendet, die wiederum für die Verbreitung zahlreicher Malware-Familien verwendet werden. Der Loader wurde in über 650 einzigartigen Samples beobachtet. Diese waren bislang für 12.000 Angriffe in zahlreichen Branchen verantwortlich. Der überwiegend per E-Mail verbreitete Loader nutzt stark verschleierte böswillige Makros sowie eine Umgehung der Benutzerkontensteuerung (UAC, User Account Control).
Der Loader wird primär über Phishing-E-Mails ausgeliefert. Bei der Betrachtung der rund 12.000 bösartigen Sessions beobachteten die Forscher bestimmte Betreffzeilen und Dateinamen, die häufiger auftraten. Dabei handelte es sich meist um nachgeahmte Aufträge, Rechnungsnummern, Produktlisten, Verträge und andere vermeintlich geschäftsrelevante Dokumente. Am meisten von dieser Bedrohung betroffen waren High-Tech-Unternehmen, Dienstleister, Rechtskanzleien und Behörden, wobei der Loader auch auf andere Branchen abzielte. Die Malware, die von diesem Loader heruntergeladen wurde, variierte. Insgesamt waren die folgenden Malware-Familien enthalten:
Angesichts dieser großen Menge einfach verfügbarer Malware-Familien sowie deren Verbreitung im großen Stil, scheint dieser Loader in erster Linie für großflächige Kampagnen eingesetzt zu werden.
Die Analyse der verschiedenen Makros, die in allen Samples verwendet wurden, zeigte fast immer dieselbe Technik. Alle Makros wurden mit einer großen Menge an Datenmüll-Code und zufällig ausgewählten Variablen verschleiert. Hierzu kam höchstwahrscheinlich ein Builder zum Einsatz, um diese Variablen zu generieren.
Interessant an diesem neuen Loader ist, dass die Angreifer einen UAC-Bypass anlegen. Darüber hinaus zeigt die weit verbreitete Nutzung dieses Loaders seit Dezember letzten Jahres, dass er derzeit in zahlreichen Kampagnen verwendet wird. Bislang ist jedoch unklar, ob er von einer oder mehreren Gruppen verwendet wird. Ziel sind in jedem Fall mehrere Branchen und es werden ebenso gezielt mehrere Malware-Familien eingesetzt.
Eine vollständige Liste an Kompromittierungsindikatoren, einschließlich Zeitstempeln, SHA256 Hashes, Download URLs und Dateinamen steht hier zur Verfügung.
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.
Spielverderber beim Shoppen: Spam- und Malware (nicht nur) am Black Friday
Ransomware: Jedes zweite Unternehmen von Erpresser-Malware betroffen
Malware-Traffic steigert sich bereits zum vierten Mal in Folge
Blinder Cyber-Passagier: Verbreitung von Malware über legitime Software
Banking-Malware: KRBanker nimmt Angriffsziele mittels Adware und Exploit-Kits ins Visier
Ransomware ist kein »Malware-Problem«, sondern kriminelles Business
EICAR-Stufe II: Mindeststandard für Anti-Malware-Produkte wird überprüfbar