Word-Malware ohne Makro aufgetaucht – Update unbedingt einspielen

Malware (Bild: Shutterstock)

Wer bisher dachte, dass nur Word-Dateien mit Makros gefährlich sein könnten, irrt. Ist die Datei mit der Malware Dridex verseucht, langt schon das Öffnen. Dabei wird dem Nutzer eine RTF-Datei untergeschoben, die nur eine Doc-Dateiendung besitzt. Microsoft hat schon einen Patch vorbereitet.

Das Öffnen einer verseuchten Datei installiert einen Banking-Trojaner, berichtet die Sicherheitsfirma Proofpoint. Bereits jetzt seien Millionen von E-Mails mit präparierten Dokumenten verschickt worden – derzeit häufig innerhalb Australiens, aber das kann sich bald ändern. Betroffen sind Office-Versionen.

Die Hintermänner des Dridex-Botnetzes verlassen sich gewöhnlich auf angehängte Dokumente mit Makros, um ihre Schadsoftware zu verbreiten, erläutern die Sicherheitsforscher. Dabei sind sie allerdings auf unachtsam klickende Empfänger angewiesen, die unabsichtlich Malware auf ihren Geräten installieren. Mit der Zero-Day-Lücke haben sie es noch deutlich leichter, solange sie nicht behoben ist. Dabei nutzen sie die Anfälligkeit mit einem speziell präparierten Dokument im Rich Text Format (RTF) mit DOC-Dateiendung.

Die Mails der beobachteten Kampagne scheinen aus der Domain des Empfängers zu kommen mit vorgetäuschten Absendern wie “dokumente@[empfänger]”. Sie haben den Betreff “Scan Data” und transportieren Anhänge wie “Scan_123456.doc”. Mehr Mühe mit Social Engineering geben sich die Angreifer in diesem Fall nicht, sondern wollen offenbar nur möglichst schnell das Sicherheitsloch ausnutzen.

Die Schwachstelle wird nicht über Makro-Skripte genutzt, sondern über ein eingebettetes OLE-Objekt, das automatisch zur Ausführung kommt, wenn der Empfänger die Datei öffnet. Sofern der Exploit erfolgreich ist, sorgt er für die Installation von Dridex Botnet ID 7500. Die Sicherheitsexperten testeten das beispielsweise auf Office 2010, bei dem es zu einer vollständigen Kompromittierung kam. Nutzer wurden zwar aufmerksam gemacht auf enthaltene Links, die sich auf andere Dateien beziehen könnten – aber danach war eine weitere nutzerseitige Interaktion nicht mehr erforderlich.

Microsoft hat an seinem April-Patchday die kritische Sicherheitslücke in Word geschlossen.

Das Dridex-Botnetz verteilte teilweise Antiviren-Software von Avira anstelle von Banking-Malware. Es widerstand auch Polizeiaktionen, mit denen internationale Sicherheitsbehörden das Botnetz zwar vorübergehend eindämmen, aber nicht vollständig abschalten konnten.

Tags :Quellen:Mit Material von Bernd Kling, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising