Schädling seit 2016 aktiv
Hacker nutzen derzeit mehrere Lecks in Microsoft Office für die Malware Zyklon http, wie zdente.de dazu ausführte. Bereits seit 2016 ist der Schädling aktiv, er hat sich seitdem offenbar qualitativ verändert.
Zu seinen zahlreichen Funktionen gehören eine Backdoor-Funktion, mit der Hacker Keylogger und Passwort-Harvester aufspielen können, wie die Sicherheitsexperten von Fireeye in einem Blog erklären. Daneben verfügt er über weitere Plugins für Denial-of-Service-Attacken und Cryptominer und ein ausgefeiltes Monitoring für die Wirkungsweise und Verbreitung des Schädlings.
Verbreitung per Spam-Mail
Es sind Spam-Mails mit ZIP-Archiven, über die der Schädling verbreitet wird. Wird ein Archiv angeklickt öffnen sich verschiedene .doc-Dateien, die mindestens eines von drei gerade gepatchten Schwachstellen in Office ausnutzen.
Wie es weiter dazu heißt wurde das Leck im .NET-Framework (CVE-2017-8759) von Microsoft im September des vorigen Jahres behoben. Über das Leck wird dann über ein eingebettetes OLE Objekt gestartet, das ein weiteres .doc-Dokument auf den angegriffenen Rechner lädt. Das ist auch dann der Fall, wenn der Schädling die beiden anderen Sicherheitslücken ausnutzt. Auch die Domäne des Downloads ist in jedem Fall die gleiche, heißt es von Fireeye.
Ein weiteres Leck CVE-2017-11882 befand sich in der Office-Funktion Microsoft Equation Editor, das Microsoft nach 17 Jahren im Rahmen des November-Patchdays behboben hatte.
Daneben nutzt der Schädling das Feautre Dymamic Data Exchange (DDE), die häufig für Macro-basierte Schädlinge missbraucht wird aus. Microsoft hatte im November dazu mitgeteilt, wie über einen Registry-Eintrag das Feature deaktiviert werden kann. Über DDE lädt der Schädling ein weiteres Dokument, das dann über einen PowerShell-Befehl (Pause.ps1) den funktionsreichen Schädling herunter lädt.
TOR-Netzwerk verschleiert Datenströme
Mit Einsatz des TOR-Netzwerkes werden laut FireEye die Datenströme verschleiert. Nach der Installation kann Zyklon Folgendes:
- sich selbst aktualisieren
- neue Plugins etwa für Cryptomining laden
- Passwörter stehlen
- einen Proxy-Server auf den infizierten Maschinen installieren
- aus Browsern wie Chrome, Safari, Firefox, Opera und Internet Explorer Passwörter wieder herstellen. (Microsoft Edge ist demnach nicht betroffen!)
- Passwörter für FTP-Server sammeln
- Mailanwendungen sammeln
- Spiele sammeln
- in etwa 200 Programmen wie Office Lizenzschlüssel auslesen
Sicherheitsforscher warnen vor Verbreitung
Zyklon ist derzeit frei auf dem Schwarzmarkt verfügbar, warnen die Sicherheitsforscher weiter, daher ist mit zusätzlicher Verbreitung zu rechnen.
„Diese Bedrohungen verdeutlichen, wie wichtig es ist, dass jede Software vollständig aktualisiert wird. Alle Branchen sollten gewarnt sein, denn es ist sehr wahrscheinlich, dass die Angreifer künftig auch außerhalb der aktuellen Branchen Ziele ausmachen werden.“
Weiterführende Links:
fireeye.com/blog: Microsoft Office Vulnerabilities Used to Distribute Zyklon Malware in Recent Campaign
zdnet.de: Hacker missbrauchen Microsoft Office für Zyklon-Malware
