Sicherheitsforscher von Trend Micro haben eine neue Angriffsmethode in freier Wildbahn entdeckt, die erstmals im Oktober vom Sicherheitsanbieter Cymulate beschrieben worden war. Dabei wird die Online-Video-Funktion von Microsoft Office benutzt, um Schadsoftware einzuschleusen. Der jetzt per VirusTotal gefundene Trojaner, den Trend Micro als Troj_Exploit_Aoocai bezeichnet, verbreitet die Daten stehlende Schadsoftware URSNIF.
Beim Proof-of-Concept veränderten die Forscher die in der DOCX-Datei enthaltene XML-Datei. An den Tag „embeddedHTML hängten sie ein schädliches Skript an. Die Malware-Autoren beschränkten sich indes darauf, die im Parameter src (Source, Quelle) angegebene URL zu verändern, was Opfer direkt zu Pastebin.com umleitete. Dort wiederum fand sich das Skript, das, falls erfolgreich geladen, auf eine weitere schädliche URL zugreift und von dort eine Version der URSNIF-Malware lädt und ausführt.
Trend Micro zufolge ist die von den Cyberkriminellen entwickelte Methode möglicherweise sogar noch effektiver als der von Cymulate entwickelte Beispielcode. Im konkreten Fall sieht der Nutzer nach einem Klick, mit dem das eingebettete Video gestartet wird, eine Aufforderung, ein Update für den Flash Player von Adobe zu installieren. Das wiederum löst den Download einer Datei über den Download-Manager des Internet Explorer aus.
Allerdings muss der Nutzer mehrfach mit der Malware interagieren. Trend Micro geht davon aus, dass das schädliche Word-Dokument beispielsweise als Anhang einer E-Mail auf ein System gelangt. In dem Fall muss zuerst in Word die Bearbeitung des Dokuments aktiviert werden. Danach muss besagtes Flash-Update gestartet und schließlich auch noch die heruntergeladene Datei im Download-Manager mit einem Klick auf „Ausführen“ gestartet werden – Hürden, die Hacker in der Vergangenheit schon häufig per Social Engineering genommen haben.
Microsoft ist der Logik-Fehler in Word offenbar schon seit Ende Oktober bekannt. Gegenüber dem SC Magazine erklärte das Unternehmen jedoch, Word arbeite wie vorgesehen und interpretiere lediglich HTML-Code – wie auch andere Anwendungen.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…