PowerPoint-Exploit umgeht Sicherheitssoftware und schleust Malware ein

Trend Micro hat eine neue Schadsoftware entdeckt, die eine im April von Microsoft gepatchte Schwachstelle (CVE-2017-0199) in PowerPoint ausnutzt. Der Fehler steckt im Windows Object Linking and Embedding Interface von Microsoft Office. Den Forschern zufolge wurde die Anfälligkeit bisher stets mit schädlichen Dateien im Rich Text Format ausgenutzt. Nun sei jedoch erstmals eine manipulierte PowerPoint-Datei zum Einsatz gekommen.

Derzeit wird der neue Angriff offenbar zielgerichtet gegen Elektronikhersteller eingesetzt. Solche Unternehmen erhalten Spear-Phishing-E-Mails, die sich als Nachrichten von Lieferanten tarnen und im Dateianhang angeblich wichtige Informationen zu einem Großauftrag enthalten. Wird die PPSX-Datei geöffnet, wird über die Animationsfunktion von PowerPoint ein Skript ausgeführt, das wiederum Schadcode von einem Server im Internet lädt.

Diese Logo.doc genannte Datei ist jedoch kein Word-Dokument, sondern eine XML-Datei mit JavaScript, die wiederum als Downloader fungiert. Dadurch wird eine Ratman.exe genannte Datei heruntergeladen. Bei der handelt es sich um eine Trojaner-Variante des Remote Access Tools (RAT) Remcos, die schließlich eine Hintertür einrichtet und die vollständige Kontrolle des infizierten Systems ermöglicht.

Remcos ist laut Trend Micro ein legitimes Fernsteuerungs-Tool, das zahlreiche Funktionen bietet. Es erstellt unter anderem Screenshots und verfügt über einen Keylogger. Es kann außerdem Webcam und Mikrofon aktivieren und beliebige Dateien herunterladen und ausführen. Mit an Bord sind auch ein Dateimanager, ein Window-Manager, ein Clipboard-Manager und ein Befehlszeilentool. Remcos ist sogar in der Lage, lokal gespeicherte Passwörter wiederherzustellen.

„Letztendlich ist der Einsatz einer neuen Angriffsmethode eine praktische Überlegung: da die meisten Erkennungsmethoden für CVE-2017-0199 auf der RTF-Angriffsmethode basieren, erlaubt es die Nutzung eines neuen Angriffsvektors – PPSX-Dateien – den Angreifern, einer Erkennung durch Antivirensoftware zu entgehen“, kommentieren die Trend-Micro-Mitarbeiter Ronnie Giagone und Rubio Wu in einem Blogeintrag.

Sie weisen ausdrücklich darauf hin, dass Nutzer, die die April-Patches für Microsoft Office installiert haben, vor diesem Angriff geschützt sind. Trotzdem zeige der Fall, welche Gefahr von E-Mail-Dateianhängen ausgehen kann, selbst wenn die Nachrichten aus vermeintlich vertrauenswürdigen Quellen stammen. Spear-Phishing-Angriffe seien zum Teil sehr ausgeklügelt und in der Lage, die meisten Nutzer zum Download gefährlicher Dateien zu verleiten.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.