Eine neue Malware befällt PowerPoint und nutzt dafür eine von Microsoft bereits gepatchte Lücke (CVE-2017-0199). Das Leck steckt in Windows Object Linking and Embedding Interface von Microsoft Office. Bislang wurde die aber nur mit schädlichen Dateien im Rich Text Format ausgenutzt. Die Sicherheitsforscher von Trend Micro warnen in einem Blog, dass nun eine manipulierte PowerPoint-Dateien genutzt werde, um die Schwachstelle auszunutzen.
Die neue Kampagne wird offenbar zielgerichtet gegen Elektronikhersteller eingesetzt. Solche Unternehmen erhalten Spear-Phishing-E-Mails, die vorgeblich von Lieferanten stammen. In dem Anhang sollen dann Informationen zu einem Großauftrag enthalten sein. Beim Öffnen der PPSX-Datei, wird über die Animationsfunktion von PowerPoint ein Skript ausgeführt, das wiederum Schadcode von einem Server im Internet lädt.
Die Datei Logo.doc ist aber eine XML-Datei mit JavaScript, die wiederum als Downloader fungiert. Dadurch wird eine Ratman.exe genannte Datei heruntergeladen. Bei der handelt es sich um eine Trojaner-Variante des Remote Access Tools (RAT) Remcos, die schließlich eine Hintertür einrichtet und die vollständige Kontrolle des infizierten Systems ermöglicht.
Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.
Remcos ist laut Trend Micro ein legitimes Fernsteuerungs-Tool, das zahlreiche Funktionen bietet. Es erstellt unter anderem Screenshots und verfügt über einen Keylogger. Es kann außerdem Webcam und Mikrofon aktivieren und beliebige Dateien herunterladen und ausführen. Mit an Bord sind auch ein Dateimanager, ein Window-Manager, ein Clipboard-Manager und ein Befehlszeilentool. Remcos ist sogar in der Lage, lokal gespeicherte Passwörter wiederherzustellen.
“Letztendlich ist der Einsatz einer neuen Angriffsmethode eine praktische Überlegung: da die meisten Erkennungsmethoden für CVE-2017-0199 auf der RTF-Angriffsmethode basieren, erlaubt es die Nutzung eines neuen Angriffsvektors – PPSX-Dateien – den Angreifern, einer Erkennung durch Antivirensoftware zu entgehen”, kommentieren die Trend-Micro-Mitarbeiter Ronnie Giagone und Rubio Wu in dem Blog.
Das Team der deutschen Gartner-Analysten bloggt für Sie auf silicon über alles, was die IT-Welt bewegt. Mit dabei sind Christian Hestermann, Frank Ridder, Bettina Tratz-Ryan, Christian Titze, Annette Zimmermann, Jörg Fritsch und Hanns Köhler-Krüner.
Nutzer, die alle April-Patches für Microsoft Office installiert haben, sind vor diesem Angriff geschützt. Trotzdem zeige der Fall, welche Gefahr von E-Mail-Dateianhängen ausgehen kann, selbst wenn die Nachrichten aus vermeintlich vertrauenswürdigen Quellen stammen. Spear-Phishing-Angriffe seien zum Teil sehr ausgeklügelt und in der Lage, die meisten Nutzer zum Download gefährlicher Dateien zu verleiten.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…
