Ein neu entdeckter Loader für Microsoft Office, den Experten des IT-Sicherheitsanbieters Palo Alto Networks in über 650 unterschiedlichen Samples identifiziert haben, nutzt gefährliche Makros, um mit deren Hilfe mehrere Malware-Familien zu verbreiten. In verschiedenen Branchen wurden mit ihnen schon mehr als 12.000 Angriffe auf Firmen durchgeführt. High-Tech-Unternehmen, Dienstleister, Rechtsanwaltskanzleien und Behörden waren am häufigsten betroffen. Es handelte sich bei den E-Mails in der Regel um vermeintliche Aufträge, Rechnungsnummern, Produktlisten, Vertragsunterlagen oder andere Dokumente, denen der Empfänger eine Geschäftsrelevanz unterstellt.

Palo Alto Networks geht aufgrund der großen Menge einfach verfügbarer Malware-Familien sowie deren Verbreitung im großen Stil allerdings davon aus, dass die Hintermänner nicht ausgewählte Firmen oder Organisationen angreifen, sondern in erster Linie großflächige Kampagnen fahren. Zu den Malware-Familien, die dabei verwendet werden, zählen LuminosityLink, KeyBase, PredatorPain, Ancalog, Bartallex, Pony und DarkComet

Wie die Untersuchung der in allen Samples verwendeten Makros zeigte, wurde nahezu immer dieselbe Technik verwendet. Laut Palo Alto Networks wurden alle Makros mit einer großen Menge an Datenmüll-Code und höchstwahrscheinlich mit einem sogenannten Builder zufällig ausgewählten und generierten Variablen verschleiert.

Dass die Angreifer einen sogenannten UAC-Bypass anlegen, also die Benutzerkontensteuerung umgehen, sei eine Besonderheit. Eine Liste aller Indikatoren, die auf eine Kompromittierung hinwiesen, Zeitstempel, SHA256 Hashes, Download-URLs und Dateinamen steht Administratoren und Sicherheitsverantwortlichen bei Github zur Verfügung.

Einer der bekanntesten Makro-Viren ist der 1999 Virus „Melissa„. Angreifer nutzten damals Visual Basic for Applications (VBA), daher werden derartige Viren auch als VBA-Viren bezeichnet. Sie wurden in Office-Dokumente eingebettet und übernahmen in Word Applikationsfunktionen wie „Auto Open“. Das führte etwa dazu, dass sich zahllose Word-Dokumente automatisch öffneten, was den Rechner überforderte und abstürzen ließ. Außerdem konnten sich VBA-Viren in Office-Template-Dateien verbergen und von dort aus in künftig bearbeitete Dokumente kopieren.

2015 belegte die Malware Maldoc, dass Makros zur Verbreitung von Malware auch raffiniert eingesetzt werden können. Auch sie wurde über als Anhang von E-Mails verbreitet. Öffnete der Nutzer den Anhang, wurde er aufgefordert, ein Makro zu aktivieren, das erst beim Schließen des Dokuments einen Malware-Download anstieß. So gelang es ihr, eine eventuell vorhandene Sicherheitssoftware mit Sandbox zu überlisten.

Im Frühjahr 2016 hatte Microsoft aufgrund der „Renaissance“ von Makro-basierender Malware Office 2016 um eine Funktion zur Abwehr von Makro-Malware ergänzt. Damit können Administratoren Regeln festlegen, mit denen Makros je nach aktuellem Szenario blockiert werden. Damit lässt sich auch die Aktivierung von Makros durch Anwender in vorher definierten Risikosituationen unterbinden. Ein Beispiel dafür ist der Download von Dokumenten aus dem Internet.

Office-Nutzer können bei aktiver Makrosperre die Sandbox „Geschützte Ansicht“ beim Öffnen eines Word-Dokuments in Outlook nicht verlassen. Makros sind in diesem Modus standardmäßig deaktiviert. Versucht ein unvorsichtiger Anwender, den Anweisungen eines Angreifers zu folgen und den Sandbox-Modus zu verlassen, wird ihm ein Warnhinweis oberhalb des Dokuments angezeigt. Darin wird erklärt, dass der Administrator Makros in diesem Dokument aus Sicherheitsgründen deaktiviert hat. Zudem wird der Nutzer daran gehindert, die “Geschütze Ansicht” zu verlassen.

(Quelle: zdnet.de)