PowerPoint-Schädling umgeht Sicherheitssoftware

Eine neue Malware befällt PowerPoint und nutzt dafür eine von Microsoft bereits gepatchte Lücke (CVE-2017-0199). Das Leck steckt in Windows Object Linking and Embedding Interface von Microsoft Office. Bislang wurde die aber nur mit schädlichen Dateien im Rich Text Format ausgenutzt. Die Sicherheitsforscher von Trend Micro warnen in einem Blog, dass nun eine manipulierte PowerPoint-Dateien genutzt werde, um die Schwachstelle auszunutzen.

So läuft die Infektion mit dem PowerPoint-Schädling TROJ_CVE20170199.JVU. (Bild: Trend Micro)

Die neue Kampagne wird offenbar zielgerichtet gegen Elektronikhersteller eingesetzt. Solche Unternehmen erhalten Spear-Phishing-E-Mails, die vorgeblich von Lieferanten stammen. In dem Anhang sollen dann Informationen zu einem Großauftrag enthalten sein. Beim Öffnen der PPSX-Datei, wird über die Animationsfunktion von PowerPoint ein Skript ausgeführt, das wiederum Schadcode von einem Server im Internet lädt.

Die Datei Logo.doc ist aber eine XML-Datei mit JavaScript, die wiederum als Downloader fungiert. Dadurch wird eine Ratman.exe genannte Datei heruntergeladen. Bei der handelt es sich um eine Trojaner-Variante des Remote Access Tools (RAT) Remcos, die schließlich eine Hintertür einrichtet und die vollständige Kontrolle des infizierten Systems ermöglicht.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Remcos ist laut Trend Micro ein legitimes Fernsteuerungs-Tool, das zahlreiche Funktionen bietet. Es erstellt unter anderem Screenshots und verfügt über einen Keylogger. Es kann außerdem Webcam und Mikrofon aktivieren und beliebige Dateien herunterladen und ausführen. Mit an Bord sind auch ein Dateimanager, ein Window-Manager, ein Clipboard-Manager und ein Befehlszeilentool. Remcos ist sogar in der Lage, lokal gespeicherte Passwörter wiederherzustellen.

“Letztendlich ist der Einsatz einer neuen Angriffsmethode eine praktische Überlegung: da die meisten Erkennungsmethoden für CVE-2017-0199 auf der RTF-Angriffsmethode basieren, erlaubt es die Nutzung eines neuen Angriffsvektors – PPSX-Dateien – den Angreifern, einer Erkennung durch Antivirensoftware zu entgehen”, kommentieren die Trend-Micro-Mitarbeiter Ronnie Giagone und Rubio Wu in dem Blog.

Exklusive Markteinschätzungen

Mehr vom Team der deutschen Gartner-Analysten

Das Team der deutschen Gartner-Analysten bloggt für Sie auf silicon über alles, was die IT-Welt bewegt. Mit dabei sind Christian Hestermann, Frank Ridder, Bettina Tratz-Ryan, Christian Titze, Annette Zimmermann, Jörg Fritsch und Hanns Köhler-Krüner.

Nutzer, die alle April-Patches für Microsoft Office installiert haben, sind vor diesem Angriff geschützt. Trotzdem zeige der Fall, welche Gefahr von E-Mail-Dateianhängen ausgehen kann, selbst wenn die Nachrichten aus vermeintlich vertrauenswürdigen Quellen stammen. Spear-Phishing-Angriffe seien zum Teil sehr ausgeklügelt und in der Lage, die meisten Nutzer zum Download gefährlicher Dateien zu verleiten.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

18 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago