Hacker missbrauchen Microsoft Office für Zyklon-Malware

Hacker nutzen derzeit mehrere Lecks in Microsoft Office für die Malware Zyklon HTTP. Der Schädling, der in verschiedenen Varianten bereits seit 2016 verbreitet wird, verfügt über eine Backdoor-Funktion, mit der Hacker Keylogger und Passwort-Harvester aufspielen können, wie die Sicherheitsexperten von Fireeye in einem Blog erklären. Hinzu kommen weitere Plugins für Denial-of-Service-Attacken und Cryptominer und ein ausgefeiltes Monitoring für die Wirkungsweise und Verbreitung des Schädlings.

Die Hacker zielen mit der aktuellen Version von Zyklon HTTP vor allem auf die Finanz- und Versicherungsbranche und auf Telekommunikationsanbieter.

Die Hacker verbreiten den Schädling über Spam-Mails mit ZIP-Archiven. Klickt ein potentielles Opfer auf dieses Archiv, dann werden verschiedene .doc-Dateien geöffnet, die mindestens eines von drei relativ frisch behobene Schwachstellen in Office ausnutzen. Der Fehler im .NET-Framework (CVE-2017-8759) wurde von Microsoft im September vergangenen Jahres behoben. Über das Leck wird dann über ein eingebettetes OLE Objekt gestartet, das ein weiteres .doc-Dokument auf den angegriffenen Rechner lädt. Das ist auch dann der Fall, wenn der Schädling die beiden anderen Sicherheitslücken ausnutzt. Auch die Domäne des Downloads ist in jedem Fall die gleiche, heißt es von Fireeye.

CVE-2017-11882 ist ein ein Leck in der Office-Funktion Microsoft Equation Editor, den Microsoft nach 17 Jahren im Rahmen des November-Patchdays behboben hatte. Im dritten Fall nutzt der Schädling das Feautre Dymamic Data Exchange (DDE), die häufig für Macro-basierte Schädlinge missbraucht wird. Auch hier hatte Microsoft im November mitgeteilt, wie über einen Registry-Eintrag das Feature deaktiviert werden kann. Über DDE lädt der Schädling ein weiteres Dokument, dass dann über einen PowerShell-Befehl (Pause.ps1) den funktionsreichen Schädling herunter lädt.

Für die Kommunikation mit dem Control-Server setzt Zyklon auf das TOR-Netzwerk. Damit werden laut Fireeye die Datenströme verschleiert. Ist Zyklon auf einem Rechner installiert, kann er sich selbst aktualisieren, neue Plugins etwa für Cryptomining laden, Passwörter stehlen oder einen Proxy-Server auf den infizierten Maschinen installieren. Auch ist die Malware in der Lage aus den meisten gängigen Browsern wie Chrome, Safari, Firefox, Opera und Internet Explorer Passwörter wieder herzustellen. Microsoft Edge ist demnach nicht betroffen. Auch Passwörter für FTP-Server, Mailanwendungen und Spiele sammelt der Schädling. Zudem kann die Malware in rund 200 Programmen wie Office Lizenzschlüssel auslesen.

Zyklon ist derzeit frei auf dem Schwarzmarkt verfügbar, warnen die Sicherheitsforscher weiter, daher ist mit zusätzlicher Verbreitung zu rechnen.

„Diese Bedrohungen verdeutlichen, wie wichtig es ist, dass jede Software vollständig aktualisiert wird. Alle Branchen sollten gewarnt sein, denn es ist sehr wahrscheinlich, dass die Angreifer künftig auch außerhalb der aktuellen Branchen Ziele ausmachen werden.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.