Categories: SicherheitVirus

Hacker verteilen Malware über die Online-Video-Funktion von Microsoft Office

Sicherheitsforscher von Trend Micro haben eine neue Angriffsmethode in freier Wildbahn entdeckt, die erstmals im Oktober vom Sicherheitsanbieter Cymulate beschrieben worden war. Dabei wird die Online-Video-Funktion von Microsoft Office benutzt, um Schadsoftware einzuschleusen. Der jetzt per VirusTotal gefundene Trojaner, den Trend Micro als Troj_Exploit_Aoocai bezeichnet, verbreitet die Daten stehlende Schadsoftware URSNIF.

Ermöglicht wird die Attacke durch einen Fehler in Microsoft Word 2013 und neuer. Dabei kommt ein speziell präpariertes Dokument im DOCX-Format (Office Open XML) Einsatz. Diese Dateien können Texte, Objekte, Formatierungen und Bilder enthalten. Proof-of-Concept und auch die jetzt im Umlauf befindliche Malware nutzen einen Logikfehler in der Funktion zur Einbettung von Online-Videos aus, die es eigentlich ermöglichen soll, Videos aus externen Quellen wie Youtube in einem Word-Dokument anzuzeigen.

Beim Proof-of-Concept veränderten die Forscher die in der DOCX-Datei enthaltene XML-Datei. An den Tag „embeddedHTML hängten sie ein schädliches Skript an. Die Malware-Autoren beschränkten sich indes darauf, die im Parameter src (Source, Quelle) angegebene URL zu verändern, was Opfer direkt zu Pastebin.com umleitete. Dort wiederum fand sich das Skript, das, falls erfolgreich geladen, auf eine weitere schädliche URL zugreift und von dort eine Version der URSNIF-Malware lädt und ausführt.

Trend Micro zufolge ist die von den Cyberkriminellen entwickelte Methode möglicherweise sogar noch effektiver als der von Cymulate entwickelte Beispielcode. Im konkreten Fall sieht der Nutzer nach einem Klick, mit dem das eingebettete Video gestartet wird, eine Aufforderung, ein Update für den Flash Player von Adobe zu installieren. Das wiederum löst den Download einer Datei über den Download-Manager des Internet Explorer aus.

Allerdings muss der Nutzer mehrfach mit der Malware interagieren. Trend Micro geht davon aus, dass das schädliche Word-Dokument beispielsweise als Anhang einer E-Mail auf ein System gelangt. In dem Fall muss zuerst in Word die Bearbeitung des Dokuments aktiviert werden. Danach muss besagtes Flash-Update gestartet und schließlich auch noch die heruntergeladene Datei im Download-Manager mit einem Klick auf „Ausführen“ gestartet werden – Hürden, die Hacker in der Vergangenheit schon häufig per Social Engineering genommen haben.

Microsoft ist der Logik-Fehler in Word offenbar schon seit Ende Oktober bekannt. Gegenüber dem SC Magazine erklärte das Unternehmen jedoch, Word arbeite wie vorgesehen und interpretiere lediglich HTML-Code – wie auch andere Anwendungen.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago