FireEye warnt vor Malware für kürzlich gepatchte Office-Lücken

Die Schadsoftware greift Schwachstellen in Word und .NET Framework an. Sie sind seit Dezember beziehungsweise September bekannt. Betroffene verlieren unter Umständen Passwörter für E-Mail-Konten, FTP-Anwendungen sowie Lizenzschlüssel für Anwendungen von Microsoft und Adobe.

Hacker nutzen derzeit eine kürzlich geschlossene Sicherheitslücke in Microsoft Office aus, um Schadsoftware zu verteilen. Die Zyklon genannte Malware ist in der Lage, Anmeldedaten zu stehlen, Cryptowährungen zu schürfen, Denial-of-Service-Angriffe auszuführen und weitere schädliche Software zu installieren. In Untergrundforen wird sie für lediglich 75 Dollar zum Kauf angeboten.

Malware (Bild: Maksim Kabakou/Shutterstock)Laut FireEye wird eine neue Variante der seit 2016 aktiven Malware nun per E-Mail vor allem an Telekommunikationsfirmen, Versicherungen und den Finanzsektor verschickt. Der Inhalt der elektronischen Nachrichten sei auf die jeweiligen Empfänger zugeschnitten und ermutige sie, die angehängte ZIP-Datei mit einem Office-Dokument zu öffnen. Wird auf das Dokument zugegriffen, startet ein PowerShell basiertes Skript und infiziert den Rechner des Opfers mit der eigentlichen Schadsoftware.

Unter anderem nutzen die Hintermänner der Kampagne die Schwachstelle mit der Kennung CVE-2017-11882 aus, die im Dezember 2017 enthüllt wurde. Sie erlaubt es, mithilfe eines speziell präparierten Office-Dokuments eine beliebige Datei herunterzuladen – in dem Fall besagtes PowerShell-Skript.

Sie haben es aber auch auf die im September 2017 gepatchte .NET-Lücke CVE-2017-8759 abgesehen. Ein Fehler in der Funktion Object Linking and Embedding (OLE) erlaubt es auch hier, eine beliebige Datei herunterzuladen, sprich das PowerShell-Skript auszuführen.

FireEye weist auch darauf hin, dass die Schadsoftware das Anonymisierungsnetzwerk Tor verwendet, um ihre Spuren zu verwischen. Per Plug-in können die Hacker zudem den Funktionsumfang der Malware erweitern und praktisch auf jegliche gespeicherte Daten zugreifen. Außerdem stiehlt Zyklon Passwörter aus Browsern und von FTP-Anwendungen sowie E-Mail-Konten. Die Malware hat es aber auch auf den Inhalt von Geldbörsen für virtuelle Währungen und Lizenzschlüssel von mehr als 200 häufig genutzten Anwendungen abgesehen, darunter Microsoft Office, SQL-Server sowie Software von Adobe und Nero.

Die Hacker können einen infizierten Rechner aber auch zu einem Botnetz hinzufügen. Das wiederum erlaubt DDoS-Angriffe auf beliebige Ziele und das Schürfen von Kryptowährungen.

Die FireEye-Forscher Swapnil Patil und Yogesh Londhe betonen in einem Blogeintrag die Bedeutung zeitnaher Softwareupdates. „Diese Art von Bedrohung zeigt, warum es sehr wichtig ist sicherzustellen, dass jegliche Software vollständig aktualisiert ist.“ „Die Sicherheitsupdates wurden im vergangenen Jahr veröffentlicht und Kunden, die sie eingespielt oder automatische Updates aktiviert haben, sind geschützt“, ergänzte ein Microsoft-Sprecher.

HIGHLIGHT

IDC-Studie: IT-Security in Deutschland 2018

Der Executive Brief "IT-Security in Deutschland 2018" bietet IT- und Fachbereichsentscheidern auf Basis der Studien-Highlights Best Practices und Empfehlungen für die Stärkung der IT-Sicherheit in ihrem Unternehmen.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cybercrime, FireEye, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu FireEye warnt vor Malware für kürzlich gepatchte Office-Lücken

Kommentar hinzufügen
  • Am 22. Januar 2018 um 10:06 von R.

    Nutzt die Schadsoftware nur die ungepatchten Lücken aus, oder sind in den zur Verfügung gestellten Patches weiterhin Lücken? Das ist etwas unklar formuliert.

    Wenn der Angriff nur VOR dem Patchen möglich ist, dann ist das Ganze ja tiefenentspannt zu sehen (wenn man sich um die Updates gekümmert hat).

    • Am 22. Januar 2018 um 10:12 von Kai Schmerer

      „Hacker nutzen derzeit eine kürzlich geschlossene Sicherheitslücke in Microsoft Office aus, um Schadsoftware zu verteilen.“ Wenn alle Updates eingespielt wurden, besteht diese Angriffsmöglichkeit nicht mehr.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *