Word-Makro greift den Mac an

Sicherheitsforscher haben ein im Umlauf befindliches Word-Dokument entdeckt, dessen Makro speziell auf MacOS ausgelegt ist. Öffnet der Nutzer das manipulierte Dokument und erlaubt – trotz Warnhinweis – die Aktivierung der Makro-Funktion, dann prüft die enthaltene Schadsoftware, ob das Sicherheits-Tool Little Snitch aktiv ist, wie der Sicherheitforscher Patrick Wardle ausführt, der das Dokument analysiert hat. Ist dies nicht der Fall, soll offenbar Code nachgeladen werden, um eine Hintertür auf dem Mac einzurichten.

Die Angreifer setzen dafür auf das quelloffene Python-Tool EmPyre, welches versucht, weitere Komponenten zu beziehen. EmPyre bietet verschiedene Module, um etwa den Browser-Verlauf auszulesen, den Schlüsselbund hochzuladen, die Webcam zu aktivieren oder Tastatureingaben aufzuzeichnen, führt Wardle an.

Durch den Einsatz des Office-Makro, wird Apples integrierte Schutzfunktion Gatekeeper umgangen, die sonst das Ausführen von unsigniertem Code blockieren würde.

Der Nutzer ist das „schwächstes Glied“

Der Angriff ist nicht “sonderlich fortschrittlich” und benötigt mehrfache Nutzerinteraktion, aber zugleich nutzt die Malware eben “das schwächste Glied aus: Menschen!”. Die Schadsoftware brauche sich nicht zu sorgen, dass sie das System zum Absturz bringt oder die genutzte Sicherheitslücke gestopft wird.

Das manipulierte Word-Dokument mit dem Dateibnamen “U.S. Allies and Rivals Digest Trump’s Victory – Carnegie Endowment for International Peace.docm.” wird offenbar von einem russischen Verbrecherring eingesetzt.

(Quelle: heise.de)

 

Durch den Einsatz von Sophos UTM und Sophos Central Antvirus kann der Download von Schadsoftware zuverlässig verhinder werden.

Mehr zu Sophos UTM finden Sie hier und Informationen zu Sophos Central Antvirus finden Sie hier.