Hacker verteilen Malware über die Online-Video-Funktion von Microsoft Office

Sicherheitsforscher von Trend Micro haben eine neue Angriffsmethode in freier Wildbahn entdeckt, die erstmals im Oktober vom Sicherheitsanbieter Cymulate beschrieben worden war. Dabei wird die Online-Video-Funktion von Microsoft Office benutzt, um Schadsoftware einzuschleusen. Der jetzt per VirusTotal gefundene Trojaner, den Trend Micro als Troj_Exploit_Aoocai bezeichnet, verbreitet die Daten stehlende Schadsoftware URSNIF.

Ermöglicht wird die Attacke durch einen Fehler in Microsoft Word 2013 und neuer. Dabei kommt ein speziell präpariertes Dokument im DOCX-Format (Office Open XML) Einsatz. Diese Dateien können Texte, Objekte, Formatierungen und Bilder enthalten. Proof-of-Concept und auch die jetzt im Umlauf befindliche Malware nutzen einen Logikfehler in der Funktion zur Einbettung von Online-Videos aus, die es eigentlich ermöglichen soll, Videos aus externen Quellen wie Youtube in einem Word-Dokument anzuzeigen.

Beim Proof-of-Concept veränderten die Forscher die in der DOCX-Datei enthaltene XML-Datei. An den Tag „embeddedHTML hängten sie ein schädliches Skript an. Die Malware-Autoren beschränkten sich indes darauf, die im Parameter src (Source, Quelle) angegebene URL zu verändern, was Opfer direkt zu Pastebin.com umleitete. Dort wiederum fand sich das Skript, das, falls erfolgreich geladen, auf eine weitere schädliche URL zugreift und von dort eine Version der URSNIF-Malware lädt und ausführt.

Trend Micro zufolge ist die von den Cyberkriminellen entwickelte Methode möglicherweise sogar noch effektiver als der von Cymulate entwickelte Beispielcode. Im konkreten Fall sieht der Nutzer nach einem Klick, mit dem das eingebettete Video gestartet wird, eine Aufforderung, ein Update für den Flash Player von Adobe zu installieren. Das wiederum löst den Download einer Datei über den Download-Manager des Internet Explorer aus.

Allerdings muss der Nutzer mehrfach mit der Malware interagieren. Trend Micro geht davon aus, dass das schädliche Word-Dokument beispielsweise als Anhang einer E-Mail auf ein System gelangt. In dem Fall muss zuerst in Word die Bearbeitung des Dokuments aktiviert werden. Danach muss besagtes Flash-Update gestartet und schließlich auch noch die heruntergeladene Datei im Download-Manager mit einem Klick auf „Ausführen“ gestartet werden – Hürden, die Hacker in der Vergangenheit schon häufig per Social Engineering genommen haben.

Microsoft ist der Logik-Fehler in Word offenbar schon seit Ende Oktober bekannt. Gegenüber dem SC Magazine erklärte das Unternehmen jedoch, Word arbeite wie vorgesehen und interpretiere lediglich HTML-Code – wie auch andere Anwendungen.