Hacker greifen Windows und Mac OS X mit Word-Malware an

Die Schadsoftware erkennt das vorhandene Betriebssystem. In Abhängigkeit davon führt sie auf unterschiedliche Weise Schadcode aus. In allen Fällen ist jedoch ein Word-Makro der Ausgangspunkt für eine Infektion.

Forscher von FortiGuard Labs haben eine Schadsoftware analysiert, die sowohl Windows-PCs als auch Computer mit Apples Mac OS X infizieren kann. Sie wird über eine speziell präparierte Word-Datei verbreitet. Eine Besonderheit der Malware ist, dass sie in Abhängigkeit von der Plattform, auf die sie trifft, unterschiedlichen Code ausführt.

Malware (Bild: Shutterstock)Unabhängig von der Plattform müssen die Hintermänner der Malware ihre Opfer zuerst dazu verleiten, die Word-Sicherheitswarnung zu deaktivieren, die vor der Ausführung von Makros aus unbekannten Quellen warnt. Erst danach kann der Schadcode, der sich im Kommentar-Bereich der Word-Datei versteckt ausgeführt werden. Um einer Erkennung durch Sicherheitssoftware zu entgehen, haben die Hacker den Schadcode zusätzlich verschlüsselt. Die Entschlüsselung erfolgt über Visual Basic for Applications (VBA).

Erst danach prüft die Malware, welches Betriebssystem vorliegt. Auf einem Mac wird schließlich ein Python-Skript heruntergeladen und gestartet. Dabei soll es sich den Forschern zufolge um eine Variante des Python Meterpreter handeln, der ein Bestandteil des Metasploit Framework ist. Der Code sei zudem öffentlich auf GitHub erhältlich. Aufgabe des Skripts sei es, einen Befehlsserver zu kontaktieren und weiteren schädlichen Code herunterzuladen. Diese Funktion sei jedoch derzeit nicht aktiv.

Unter Windows starte die Malware indes im Hintergrund die Powershell.exe, um weiteren in dem Word-Dokument versteckten Code auszuführen. Im letzten Schritt werde einen 64-Bit-DLL-Datei heruntergeladen und ausgeführt – die eigentliche Aufgabe dieser DLL-Datei sei jedoch nicht bekannt.

Als weitere Besonderheit beschreiben die Forscher Xiaopeng Zhang und Chris Navarrete eine Funktion, mit der die Hacker offenbar die Effektivität ihrer Malware prüfen wollen. Dafür erhält jeder infizierte Client eine eindeutige ID.

Obwohl Microsofts Office-Anwendungen die Ausführung von Makros ab Werk deaktivieren, werden sie gerne zur Verbreitung von Schadcode benutzt, da zur Ausführung des Codes keine Sicherheitslücken benötigt werden. Hacker müssen ihre Opfer lediglich per Social Engineering dazu verleiten, Microsofts Sicherheitswarnung zu ignorieren. Ihre Erfolgsquote erhöhen die Hacker zudem durch die einfache Prüfung des vorhandenen Betriebssystems, worauf der größte Teil der Schadprogramme jedoch verzichtet.

WEBINAR

What´s next – Storage & Co: Die Enterprise Cloud!

Lernen Sie in diesem Audio-Webinar die Bausteine einer Enterprise Cloud Plattform kennen. Erfahren Sie, wie Sie maximale Freiheit und Flexibilität für Ihre Anwendungen erzielen. Mehr Outcome mit weniger Input erzielen – konkrete Anwendungsbeispiele.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Fortinet, Mac OS X, Malware, Security, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Hacker greifen Windows und Mac OS X mit Word-Malware an

Kommentar hinzufügen
  • Am 28. März 2017 um 20:02 von BB

    Muss dafür MS Word auf dem jeweiligen System installiert sein oder führen auch Libre Office, Open Office und Pages diese Macros aus?
    Außerdem gibt es ein Vielzahl von Versionen der Textverarbeitung MS Word. Welche von denen sind betroffen?
    Ist es am Ende nicht wieder ein Problem, dass nur DAU betrifft? Wer lässt schon fremde Macros auf seinem Rechner ausführen?

    BB

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *