Infiziertes Word-Dokument bringt Mac-Malware mit

SicherheitSicherheitsmanagement

Das Dokument bietet angeblich Informationen über den neuen US-Präsidenten Donald Trump. Es ist jedoch dafür gedacht, ein schädliches Makro auf Mac-Rechner zu schleusen. Dort führt es dann Python-Code aus. Microsoft Word warnt standardmäßig vor der Ausführung von Makros.

Die Sicherheitsforscher von Objective See haben eine Malware entdeckt, mit der Nutzer von MacOS angegriffen werden. Das Unternehmen bietet diverse Security-Produkte für Apple-Rechner an. Das nun von ihm bemerkte Word-Dokument beschäftigt sich inhaltlich angeblich mit der Wahl des US-Präsidenten Donald Trump.

Einem Bericht von AppleInsider zufolge wird beim Öffnen des Dokuments jedoch ein Python-Skript ausgeführt. Damit wird geprüft, ob das Sicherheits-Tool Little Snitch auf dem Rechner läuft. Ist das nicht der Fall wird im Hintergrund ohne Interaktion mit dem Nutzer Schadcode nachgeladen und ausgeführt.

(Bild: Shutterstock.com/Maksim Kabakou)

Microsoft Word warnt standardmäßig beim Öffnen eines Dokuments davor, enthaltene Makros zu aktivieren. Wird die Warnung ignoriert oder sind Makros erlaubt, kommt die Malware jedoch zum Zuge. Sie basiert den Experten von ObjectiveS See zufolge auf dem Open-Source-Project EmPyre. Der nachgeladene Schadcode habe nicht für die Analyse zur Verfügung gestanden. Aufgrund anderer Hinweise vermuten sie jedoch, dass die Malware versucht, sich auf einem Mac zu installieren, bei jedem Start automatisch ausgeführt zu werden und dann diverse Aktionen auszuführen.

Die Hacker hätten auf Basis von EmPyre zahlreiche Möglichkeiten, vertrauliche Daten zu sammeln, etwa mittels Keylogger oder Tools, die die Zwischenablage auslesen oder Screenshots anfertigen können. Der Zugriff auf iMessage und eine angeschlossene Webcam sei möglich.

Sicherheitsforscher Patrick Wardle hält die Malware für “nicht besonders fortschrittlich”. Schließlich müssten Nutzer zuerst die Ausführung von Makros erlauben. Er räumt aber ein, dass die Hintermänner geschickt eine legitime Funktion von Makros nutzen, um daraus einen Angriff zu entwickeln, der sich nicht patchen lasse.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Einer der bekanntesten Makro-Viren ist der 1999 entdeckte Virus “Melissa“. Um sie zu erstellen nutzen Angreifer Visual Basic for Applications (VBA), daher spricht man auch von VBA-Viren. Sie wurden in Office-Dokumente eingebettet und übernahmen in Word Applikationsfunktionen wie “Auto Open”. Das führte etwa dazu, dass sich zahllose Word-Dokumente automatisch öffneten was die Rechner schließlich abstürzen ließ. Außerdem konnten sich VBA-Viren in den Office-Template-Dateien verstecken und von dort aus in alle künftig bearbeiteten Dokumente kopieren.

Die Anzahl der Makro-Malware ging allerdings aufgrund verbesserter Sicherheitsfunktionen der Microsoft-Office-Produkte um die Jahrtausendwende nahezu auf null zurück. Seit gut zwei Jahren scheinen sie allerdings eine Art Comeback zu feiern. Im Dezember warnte die Polizei auch in Deutschland Personalabteilungen vor dem Makro-Virus Goldeneye, der über Anhänge in vermeintlichen Bewerbungsschreiben verbreitet wurde. Bereits im Oktober 2016 hatte Symantec auf den Banking-Trojaner Odinaff hingewiesen. Er wird sowohl über passwortgeschützte RAR-Archive als auch über Word-Dokumente mit Makros verbreitet.

[mit Material von Stefan Beiersmann, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen