PowerPoint-Exploit umgeht Sicherheitssoftware und schleust Malware ein

Die Hacker nutzen eine Schwachstelle im Windows Object Linking and Embedding Interface. Sie setzen dabei erstmals auf eine PowerPoint-Datei als Exploit statt einer Datei im Rich Text Format (RTF). Das erschwert die Erkennung durch Antivirensoftware.

Trend Micro hat eine neue Schadsoftware entdeckt, die eine im April von Microsoft gepatchte Schwachstelle (CVE-2017-0199) in PowerPoint ausnutzt. Der Fehler steckt im Windows Object Linking and Embedding Interface von Microsoft Office. Den Forschern zufolge wurde die Anfälligkeit bisher stets mit schädlichen Dateien im Rich Text Format ausgenutzt. Nun sei jedoch erstmals eine manipulierte PowerPoint-Datei zum Einsatz gekommen.

Microsoft PowerPoint (Bild: Microsoft)Derzeit wird der neue Angriff offenbar zielgerichtet gegen Elektronikhersteller eingesetzt. Solche Unternehmen erhalten Spear-Phishing-E-Mails, die sich als Nachrichten von Lieferanten tarnen und im Dateianhang angeblich wichtige Informationen zu einem Großauftrag enthalten. Wird die PPSX-Datei geöffnet, wird über die Animationsfunktion von PowerPoint ein Skript ausgeführt, das wiederum Schadcode von einem Server im Internet lädt.

Diese Logo.doc genannte Datei ist jedoch kein Word-Dokument, sondern eine XML-Datei mit JavaScript, die wiederum als Downloader fungiert. Dadurch wird eine Ratman.exe genannte Datei heruntergeladen. Bei der handelt es sich um eine Trojaner-Variante des Remote Access Tools (RAT) Remcos, die schließlich eine Hintertür einrichtet und die vollständige Kontrolle des infizierten Systems ermöglicht.

Remcos ist laut Trend Micro ein legitimes Fernsteuerungs-Tool, das zahlreiche Funktionen bietet. Es erstellt unter anderem Screenshots und verfügt über einen Keylogger. Es kann außerdem Webcam und Mikrofon aktivieren und beliebige Dateien herunterladen und ausführen. Mit an Bord sind auch ein Dateimanager, ein Window-Manager, ein Clipboard-Manager und ein Befehlszeilentool. Remcos ist sogar in der Lage, lokal gespeicherte Passwörter wiederherzustellen.

„Letztendlich ist der Einsatz einer neuen Angriffsmethode eine praktische Überlegung: da die meisten Erkennungsmethoden für CVE-2017-0199 auf der RTF-Angriffsmethode basieren, erlaubt es die Nutzung eines neuen Angriffsvektors – PPSX-Dateien – den Angreifern, einer Erkennung durch Antivirensoftware zu entgehen“, kommentieren die Trend-Micro-Mitarbeiter Ronnie Giagone und Rubio Wu in einem Blogeintrag.

Sie weisen ausdrücklich darauf hin, dass Nutzer, die die April-Patches für Microsoft Office installiert haben, vor diesem Angriff geschützt sind. Trotzdem zeige der Fall, welche Gefahr von E-Mail-Dateianhängen ausgehen kann, selbst wenn die Nachrichten aus vermeintlich vertrauenswürdigen Quellen stammen. Spear-Phishing-Angriffe seien zum Teil sehr ausgeklügelt und in der Lage, die meisten Nutzer zum Download gefährlicher Dateien zu verleiten.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Florian Bettges von HPE erläutert in diesem Webinar, wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen. Jetzt registrieren und Webinaraufzeichnung ansehen.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: E-Mail, Malware, Office, Phishing, Trend Micro

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu PowerPoint-Exploit umgeht Sicherheitssoftware und schleust Malware ein

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *