Trend Micro hat eine neue Schadsoftware entdeckt, die eine im April von Microsoft gepatchte Schwachstelle (CVE-2017-0199) in PowerPoint ausnutzt. Der Fehler steckt im Windows Object Linking and Embedding Interface von Microsoft Office. Den Forschern zufolge wurde die Anfälligkeit bisher stets mit schädlichen Dateien im Rich Text Format ausgenutzt. Nun sei jedoch erstmals eine manipulierte PowerPoint-Datei zum Einsatz gekommen.
Diese Logo.doc genannte Datei ist jedoch kein Word-Dokument, sondern eine XML-Datei mit JavaScript, die wiederum als Downloader fungiert. Dadurch wird eine Ratman.exe genannte Datei heruntergeladen. Bei der handelt es sich um eine Trojaner-Variante des Remote Access Tools (RAT) Remcos, die schließlich eine Hintertür einrichtet und die vollständige Kontrolle des infizierten Systems ermöglicht.
Remcos ist laut Trend Micro ein legitimes Fernsteuerungs-Tool, das zahlreiche Funktionen bietet. Es erstellt unter anderem Screenshots und verfügt über einen Keylogger. Es kann außerdem Webcam und Mikrofon aktivieren und beliebige Dateien herunterladen und ausführen. Mit an Bord sind auch ein Dateimanager, ein Window-Manager, ein Clipboard-Manager und ein Befehlszeilentool. Remcos ist sogar in der Lage, lokal gespeicherte Passwörter wiederherzustellen.
„Letztendlich ist der Einsatz einer neuen Angriffsmethode eine praktische Überlegung: da die meisten Erkennungsmethoden für CVE-2017-0199 auf der RTF-Angriffsmethode basieren, erlaubt es die Nutzung eines neuen Angriffsvektors – PPSX-Dateien – den Angreifern, einer Erkennung durch Antivirensoftware zu entgehen“, kommentieren die Trend-Micro-Mitarbeiter Ronnie Giagone und Rubio Wu in einem Blogeintrag.
Sie weisen ausdrücklich darauf hin, dass Nutzer, die die April-Patches für Microsoft Office installiert haben, vor diesem Angriff geschützt sind. Trotzdem zeige der Fall, welche Gefahr von E-Mail-Dateianhängen ausgehen kann, selbst wenn die Nachrichten aus vermeintlich vertrauenswürdigen Quellen stammen. Spear-Phishing-Angriffe seien zum Teil sehr ausgeklügelt und in der Lage, die meisten Nutzer zum Download gefährlicher Dateien zu verleiten.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
[mit Material von Danny Palmer, ZDNet.com]
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Mehrere AOKs waren von einer Sicherheitslücke in der Software "MOVEit Transfer" zur Datenübertragung betroffen.
Bitdefender entdeckt vollautomatische Kampagne zum Ausspielen von gecrackten oder modifizierten populären Apps oder Game Assets.
Schnelle Bereitstellung und Skalierung von Schlüsselmanagement- und Datensicherheitsdiensten ohne Vorabinvestitionen.
Progress Software weist auf eine kritische Sicherheitslücke (CVE-2023-34362) bei MOVEit Transfer und weiteren MOVEit-Cloud-Lösungen hin.
Kampagne nutzt laut Akamai-Forscher Magento und andere Plattformen für ihre Angriffe.
Zero Trust Exchange-Plattform von Zscaler unterstützt Primetals Technologies beim Netzwerk-Redesign.
