Neue Malware für MS Office entdeckt

Mehrere Malware-Familien nehmen Microsoft Office ins Visier

, München, Palo Alto Networks

Mehrere Malware-Familien nehmen Microsoft Office ins Visier

Anti-Malware-Team von Palo Alto Networks entdeckt neuen Loader

Palo Alto Networks hat einen einzigartigen neuen Loader für Microsoft Office analysiert, der böswillige Makros verwendet, die wiederum für die Verbreitung zahlreicher Malware-Familien verwendet werden. Der Loader wurde in über 650 einzigartige Samples beobachtet. Diese waren bislang für 12.000 Angriffe in zahlreichen Branchen verantwortlich. Der überwiegend per E-Mail verbreitete Loader nutzt stark verschleierte böswillige Makros sowie eine Umgehung der Benutzerkontensteuerung (UAC, User Account Control).

Der Loader wird primär über Phishing-E-Mails ausgeliefert. Bei der Betrachtung der rund 12.000 bösartigen Sessions beobachteten die Forscher bestimmte Betreffzeilen und Dateinamen, die häufiger auftraten. Dabei handelte es sich meist um nachgeahmte Aufträge, Rechnungsnummern, Produktlisten, Verträge und andere vermeintlich geschäftsrelevante Dokumente. Am meisten von dieser Bedrohung betroffen waren High-Tech-Unternehmen, Dienstleister, Rechtskanzleien und Behörden, wobei der Loader auch auf andere Branchen abzielte. Die Malware, die von diesem Loader heruntergeladen wurde, variierte. Insgesamt waren die folgenden Malware-Familien enthalten:

  • LuminosityLink
  • KeyBase
  • PredatorPain
  • Ancalog
  • Bartallex
  • Pony
  • DarkComet

Angesichts dieser großen Menge einfach verfügbarer Malware-Familien sowie deren Verbreitung im großen Stil, scheint dieser Loader in erster Linie für großflächige Kampagnen eingesetzt zu werden.

Die Analyse der verschiedenen Makros, die in allen Samples verwendet wurden, zeigte fast immer dieselbe Technik. Alle Makros wurden mit einer großen Menge an Datenmüll-Code und zufällig ausgewählten Variablen verschleiert. Hierzu kam höchstwahrscheinlich ein Builder zum Einsatz, um diese Variablen zu generieren.

Interessant an diesem neuen Loader ist, dass die Angreifer einen UAC-Bypass anlegen. Darüber hinaus zeigt die weit verbreitete Nutzung dieses Loaders seit Dezember letzten Jahres, dass er derzeit in zahlreichen Kampagnen verwendet wird. Bislang ist jedoch unklar, ob er von einer oder mehreren Gruppen verwendet wird. Ziel sind in jedem Fall mehrere Branchen und es werden ebenso gezielt mehrere Malware-Familien eingesetzt.

Eine vollständige Liste an Kompromittierungsindikatoren, einschließlich Zeitstempeln, SHA256 Hashes, Download URLs und Dateinamen steht hier zur Verfügung.