Malware-Attacke über Word-Files ohne Makros

von | Feb 28, 2018 | IT Sicherheit |

Sicherheitsforscher von Trustwave berichten von einer neuen Malware-Attacke, bei der die Schadsoftware durch über Spam-Mails versendete Microsoft-Word-Dateien ohne Zuhilfenahme von Makros – wie sonst üblich – Rechner infiziert und Passworte stiehlt. 

MongoDB Datenbanken durch Trojaner gelöscht

Microsoft Office Anwendungen wie Word, Excel oder Powerpoint wurden in den vergangenen Jahren immer wieder für die Verbreitung von Malware benutzt. Bislang war es allerdings nötig, diese mithilfe von Makros unter die Bits & Bytes auf den Rechnern der Opfer zu bringen.

Nun hat eine Gruppe von Cyberverbrechern einen neuen Trick entdeckt, der sich einer Sicherheitslücke des Office-Formeleditors (CVE-2017-11882) bedient. Dabei reicht es, wenn das potenzielle Opfer eine über Spam-Mails verbreitete DOCX-Datei öffnet.  Diese Datei enthält ein OLE-Objekt, das eine als DOC-File getarnte RTF-Datei herunterlädt und öffnet. Mit diesem File ist es möglich die zuvor genannte Sicherheitslücke auszunutzen und eine MSHTA-Befehlszeile auszuführen. Diese lädt und führt in weiterer Folge eine HTA-Datei aus, die über ein VBScript ein PowerShell-Script zum Stehlen von diversen Browser-, E-Mail- und FTP-Passworten verwendet. Zu guter Letzt werden die entwendeten Daten auf einen Remote Server geladen.

Wie können Sie sich vor Angriffen wie diesem schützen? Abgesehen von der üblichen Vorsicht bei Mails mit Attachments von unbekannten Absendern, empfiehlt es sich, Windows und Office-Anwendungen immer auf dem letzten Stand zu halten. So war beim letzten Jänner Patchday von Microsoft auch ein Sicherheits-Update für den Office-Formeleditor enthalten, das Attacken wie diese unmöglich macht.

a

Textquellen & Links

Mehr zu den technischen Details der Attacke können Sie hier nachlesen:
trustwave.com

a

Zur Seite ...