Verbreitung der Schadsoftware URSNIF
Wie die Sicherheitsforscher von Trend Micro entdeckten wird die Online-Video-Funktion von Microsoft Office benutzt, um Schadsoftware einzuschleusen. Der jetzt per VirusTotal gefundene Trojaner, den Trend Micro als Troj_Exploit_Aoocai bezeichnet, verbreitet die Daten stehlende Schadsoftware URSNIF, wie zdnet.de dazu ausführte.
Wie es weiter dazu heißt, wird die Attacke durch einen Fehler in Microsoft Word 2013 und neuer, ermöglicht. Dabei kommt ein speziell präpariertes Dokument im DOCX-Format (Office Open XML) Einsatz. Diese Dateien können Texte, Objekte, Formatierungen und Bilder enthalten. Proof-of-Concept und auch die jetzt im Umlauf befindliche Malware nutzen einen Logikfehler in der Funktion zur Einbettung von Online-Videos aus, die es eigentlich ermöglichen soll, Videos aus externen Quellen wie Youtube in einem Word-Dokument anzuzeigen.
Die Analyse der Forscher
Beim Proof-of-Concept veränderten die Forscher die in der DOCX-Datei enthaltene XML-Datei. An den Tag „embeddedHTML hängten sie ein schädliches Skript an. Die Malware-Autoren beschränkten sich indes darauf, die im Parameter src (Source, Quelle) angegebene URL zu verändern, was Opfer direkt zu Pastebin.com umleitete. Dort wiederum fand sich das Skript, das, falls erfolgreich geladen, auf eine weitere schädliche URL zugreift und von dort eine Version der URSNIF-Malware lädt und ausführt.
Effektive Methode der Cyberkriminellen entdeckt
Im konkreten Fall sieht der Nutzer nach einem Klick, mit dem das eingebettete Video gestartet wird, eine Aufforderung, ein Update für den Flash Player von Adobe zu installieren. Das wiederum löst den Download einer Datei über den Download-Manager des Internet Explorer aus.
Allerdings muss der Nutzer mehrfach mit der Malware interagieren. Trend Micro geht davon aus, dass das schädliche Word-Dokument beispielsweise als Anhang einer E-Mail auf ein System gelangt. In dem Fall muss zuerst in Word die Bearbeitung des Dokuments aktiviert werden. Danach muss besagtes Flash-Update gestartet und schließlich auch noch die heruntergeladene Datei im Download-Manager mit einem Klick auf „Ausführen“ gestartet werden – Hürden, die Hacker in der Vergangenheit schon häufig per Social Engineering genommen haben.
Der Microsoft-Kommentar
Microsoft ist der Logik-Fehler in Word offenbar schon seit Ende Oktober bekannt. Gegenüber dem SC Magazine erklärte das Unternehmen jedoch, Word arbeite wie vorgesehen und interpretiere lediglich HTML-Code – wie auch andere Anwendungen.
Weiterführende Links:
blog.trendmicro.com: Hide and Script: Inserted Malicious URLs within Office Documents’ Embedded Videos
zdnet.de: Hacker verteilen Malware über die Online-Video-Funktion von Microsoft Office