Schadcode statt Silverlight-Update

Keine Kommentare
 

Mit Makro-Code versehene Office-Dokumente sind seit etwa zwei Jahren eine populäre Masche, um Malware jedweder Couleur per E-Mail zu verbreiten. Experten des IT-Sicherheitsunternehmens Proofpoint warnen nun vor einer ähnlich gravierenden Bedrohung, die ebenfalls als E-Mail-Anhang daherkommt. Statt auf Makros setzen die verantwortlichen Cyber-Gangster diesmal jedoch auf so genannte “Embedded Objects”, zu deutsch: eingebettete Objekte. Ein Doppelklick auf ein solches Objekt genügt, um den betreffenden PC mit gefährlicher Malware zu infizieren.


Computer Code editor

Schadcode statt Silverlight-Update: Experten warnen vor “Embedded Objects” (Pixabay.com / Pexels)

Das Prinzip der eingebetteten Objekte ist ebenso wenig neu wie die Masche mit den Makros. Bereits seit 1990 bietet Microsoft Office-Nutzern die Möglichkeit,mit Hilfe des OLE (Obejct Linking and Embedding)-Packagers verschiedene Objekte direkt in Office-Dokumente einzufügen. Dazu bedarf es seitens des Nutzers nicht einmal spezieller Vorkenntnisse: Die gewünschte Datei lässt sich oftmals einfach per Drag-and-Drop an die gewünschte Position ziehen; eine anschließende Anpassung des Namens und der Darstellung ist ebenfalls problemlos möglich. Nach dem Speichern wird sie zu einem festen Bestandteil des Dokuments und kann auf anderen PCs durch einen Doppelklick wieder ausgeführt werden. Dass dieses Prinzip auch mit ausführbaren Dateien funktioniert, stellt ein großes Sicherheitsrisiko für den Empfänger eines solchen Dokuments dar.

Klick auf Update-Meldung veranlasst Keylogger-Installation

Im Falle der aktuellen, von Proofpoint entdeckten Malware-Kampagne wird die OLE-Funktionalität zum Einbetten eines Visual Basic Scripts verwendet. Dieses wiederum verbirgt sich hinter einer Grafik, die den Nutzer zum Download der aktuellen Microsoft Silverlight-Version animiert. Angeblich sei das Update erforderlich, um weitere Inhalte im Dokument anzuzeigen. Klickt der Nutzer auf die Grafik, wird im Hintergrund das bösartige Script ausgeführt. Dieses lädt einen Keylogger aus dem Internet nach, der persönliche Nutzerdaten sammelt und sie dann an zwei im Schadcode hinterlegte Gmail-Adressen übermittelt.

Die Proofpoint-Experten berichten, dass das Embedded Object stark obfuskiert sei, um der Entdeckung durch AV-Programme zu entgehen. Statt der sonst üblichen Verschlüsselungsmechanismen bedienen sich die Malware-Autoren dabei einer recht ungewöhnlichen Taktik: Auf jedes relevante Zeichen des Scripts folgt die Zeichenkette “We are safe”. Erst unmittelbar vor der Ausführung der betreffenden Codezeilen werden die Zeichenketten mittels einer speziellen Funktion durch Leerzeichen ersetzt.

Enttarnung per Rechtsklick: Wachsamkeit schützt vor Infektion

Der Umfang der aktuellen Malware-Kampagne war laut Proofpoint recht gering: Lediglich ein einziges Unternehmen aus dem Finanzsektor wurde zum Ziel der Angreifer. Angesichts der Einfachheit und Effektivität der Embedded Object-Strategie prognostiziert Proofpoint jedoch, dass sie sich 2017 zu einer dauerhaften Bedrohung entwickeln wird. Anders als die Ausführung von Makros ist die Nutzung von Embedded Objects nicht standardmäßig deaktiviert; somit liegt es in der Verantwortung der E-Mail-Empfänger, verdächtige Anhänge mit der nötigen Wachsamkeit zu behandeln.

Hilfreich ist in diesem Zusammenhang, dass ein einzelner Rechtsklick auf ein Embedded Object wichtige Informationen enthüllt, ohne den eingebetteten Code auszuführen. Das nach dem Klick erscheinende Kontextmenü umfasst den Punkt “Packager Shell Object Object”. Nutzer können sich hierüber die Eigenschaften des eingebetteten Objekts anzeigen lassen und so beispielsweise erkennen, ob sich hinter dem vermeintlichen Update-Link in Wirklichkeit eine ausführbare Datei verbirgt

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen