Categories: SicherheitVirus

Hacker verteilen Malware über die Online-Video-Funktion von Microsoft Office

Sicherheitsforscher von Trend Micro haben eine neue Angriffsmethode in freier Wildbahn entdeckt, die erstmals im Oktober vom Sicherheitsanbieter Cymulate beschrieben worden war. Dabei wird die Online-Video-Funktion von Microsoft Office benutzt, um Schadsoftware einzuschleusen. Der jetzt per VirusTotal gefundene Trojaner, den Trend Micro als Troj_Exploit_Aoocai bezeichnet, verbreitet die Daten stehlende Schadsoftware URSNIF.

Ermöglicht wird die Attacke durch einen Fehler in Microsoft Word 2013 und neuer. Dabei kommt ein speziell präpariertes Dokument im DOCX-Format (Office Open XML) Einsatz. Diese Dateien können Texte, Objekte, Formatierungen und Bilder enthalten. Proof-of-Concept und auch die jetzt im Umlauf befindliche Malware nutzen einen Logikfehler in der Funktion zur Einbettung von Online-Videos aus, die es eigentlich ermöglichen soll, Videos aus externen Quellen wie Youtube in einem Word-Dokument anzuzeigen.

Beim Proof-of-Concept veränderten die Forscher die in der DOCX-Datei enthaltene XML-Datei. An den Tag „embeddedHTML hängten sie ein schädliches Skript an. Die Malware-Autoren beschränkten sich indes darauf, die im Parameter src (Source, Quelle) angegebene URL zu verändern, was Opfer direkt zu Pastebin.com umleitete. Dort wiederum fand sich das Skript, das, falls erfolgreich geladen, auf eine weitere schädliche URL zugreift und von dort eine Version der URSNIF-Malware lädt und ausführt.

Trend Micro zufolge ist die von den Cyberkriminellen entwickelte Methode möglicherweise sogar noch effektiver als der von Cymulate entwickelte Beispielcode. Im konkreten Fall sieht der Nutzer nach einem Klick, mit dem das eingebettete Video gestartet wird, eine Aufforderung, ein Update für den Flash Player von Adobe zu installieren. Das wiederum löst den Download einer Datei über den Download-Manager des Internet Explorer aus.

Allerdings muss der Nutzer mehrfach mit der Malware interagieren. Trend Micro geht davon aus, dass das schädliche Word-Dokument beispielsweise als Anhang einer E-Mail auf ein System gelangt. In dem Fall muss zuerst in Word die Bearbeitung des Dokuments aktiviert werden. Danach muss besagtes Flash-Update gestartet und schließlich auch noch die heruntergeladene Datei im Download-Manager mit einem Klick auf „Ausführen“ gestartet werden – Hürden, die Hacker in der Vergangenheit schon häufig per Social Engineering genommen haben.

Microsoft ist der Logik-Fehler in Word offenbar schon seit Ende Oktober bekannt. Gegenüber dem SC Magazine erklärte das Unternehmen jedoch, Word arbeite wie vorgesehen und interpretiere lediglich HTML-Code – wie auch andere Anwendungen.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Volles Risiko: Wertschöpfung im digitalen Zeitalter sichern

Experten von Deloitte, HORNBACH, dem LKA und Link11 haben sich mit den Bedrohungen digitaler Unternehmenswerte…

14 Stunden ago

Versicherungen: Online-Kunden verzichten auf persönliche Beratung

Weil Kunden beim Erwerb von Online-Versicherungen fast immer persönliche Beratung dankend ablehnen, müssen die Anbieter…

19 Stunden ago

Cybersicherheit leidet unter Geldmangel

Laut einer Kaspersky-Studie hat mehr als die Hälfte der Unternehmen in Deutschland Schwierigkeiten, Cybersicherheitsverbesserungen zu…

20 Stunden ago

Europäische Unternehmen verklagen Microsoft

Eine Koalition europäischer Unternehmen unter der Federführung von Nextcloud hat Kartellklagen gegen Microsoft bei der…

20 Stunden ago

Corona befördert das Wachstum von Cloud-Services

Corona hat sowohl die Bedeutung der IT als auch von Public Cloud Services gesteigert. Die…

5 Tagen ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

5 Tagen ago