PowerPoint-Schädling umgeht Sicherheitssoftware

Microsoft hat erse 64-Bit-Version von Office für Mac bereitgestellt (Bild: ZDNet.de)

Ein Trojaner zielt auf eine Schwachstelle, die Microsoft bereits im April geschlossen hat. Anwender, die damals Office-Updates aufgespielt haben, sind nicht betroffen.

Eine neue Malware befällt PowerPoint und nutzt dafür eine von Microsoft bereits gepatchte Lücke (CVE-2017-0199). Das Leck steckt in Windows Object Linking and Embedding Interface von Microsoft Office. Bislang wurde die aber nur mit schädlichen Dateien im Rich Text Format ausgenutzt. Die Sicherheitsforscher von Trend Micro warnen in einem Blog, dass nun eine manipulierte PowerPoint-Dateien genutzt werde, um die Schwachstelle auszunutzen.

So läuft die Infektion mit dem PowerPoint-Schädling TROJ_CVE20170199.JVU. (Bild: Trend Micro)
So läuft die Infektion mit dem PowerPoint-Schädling TROJ_CVE20170199.JVU. (Bild: Trend Micro)

Die neue Kampagne wird offenbar zielgerichtet gegen Elektronikhersteller eingesetzt. Solche Unternehmen erhalten Spear-Phishing-E-Mails, die vorgeblich von Lieferanten stammen. In dem Anhang sollen dann Informationen zu einem Großauftrag enthalten sein. Beim Öffnen der PPSX-Datei, wird über die Animationsfunktion von PowerPoint ein Skript ausgeführt, das wiederum Schadcode von einem Server im Internet lädt.

Die Datei Logo.doc ist aber eine XML-Datei mit JavaScript, die wiederum als Downloader fungiert. Dadurch wird eine Ratman.exe genannte Datei heruntergeladen. Bei der handelt es sich um eine Trojaner-Variante des Remote Access Tools (RAT) Remcos, die schließlich eine Hintertür einrichtet und die vollständige Kontrolle des infizierten Systems ermöglicht.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Remcos ist laut Trend Micro ein legitimes Fernsteuerungs-Tool, das zahlreiche Funktionen bietet. Es erstellt unter anderem Screenshots und verfügt über einen Keylogger. Es kann außerdem Webcam und Mikrofon aktivieren und beliebige Dateien herunterladen und ausführen. Mit an Bord sind auch ein Dateimanager, ein Window-Manager, ein Clipboard-Manager und ein Befehlszeilentool. Remcos ist sogar in der Lage, lokal gespeicherte Passwörter wiederherzustellen.

“Letztendlich ist der Einsatz einer neuen Angriffsmethode eine praktische Überlegung: da die meisten Erkennungsmethoden für CVE-2017-0199 auf der RTF-Angriffsmethode basieren, erlaubt es die Nutzung eines neuen Angriffsvektors – PPSX-Dateien – den Angreifern, einer Erkennung durch Antivirensoftware zu entgehen”, kommentieren die Trend-Micro-Mitarbeiter Ronnie Giagone und Rubio Wu in dem Blog.

Exklusive Markteinschätzungen

Mehr vom Team der deutschen Gartner-Analysten

Das Team der deutschen Gartner-Analysten bloggt für Sie auf silicon über alles, was die IT-Welt bewegt. Mit dabei sind Christian Hestermann, Frank Ridder, Bettina Tratz-Ryan, Christian Titze, Annette Zimmermann, Jörg Fritsch und Hanns Köhler-Krüner.

Nutzer, die alle April-Patches für Microsoft Office installiert haben, sind vor diesem Angriff geschützt. Trotzdem zeige der Fall, welche Gefahr von E-Mail-Dateianhängen ausgehen kann, selbst wenn die Nachrichten aus vermeintlich vertrauenswürdigen Quellen stammen. Spear-Phishing-Angriffe seien zum Teil sehr ausgeklügelt und in der Lage, die meisten Nutzer zum Download gefährlicher Dateien zu verleiten.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.