Das Tückische daran ist, dass das Makro auf diese Weise eine Sandbox überlisten kann.
Forscher des Security-as-a-Service-Anbieters Proofpoint haben eine neue Form der bereits im Dezember entdeckten Malware-Kampagne Dridex identifiziert. Hierbei handele es sich um ein Botnetz, das über Phishing-Mails ein schädliches, mit einem Makro-Infektions-Toolkit erstelltes Office-Dokument verbreitet. Dieses nutzt wiederum neue Verschleierungstechniken, um Sandboxen zu überlisten. Das Tückische an der nun “Maldoc” getauften Kampagne sei, dass das eingesetzte bösartige Makro erst beim Schließen des Dokuments den Download von Malware anstößt.
Um auf diesen Trend zu reagieren, sollen Sandboxen jetzt ebenfalls darauf programmiert werden, erst zu “warten”. Denn die Fähigkeit des bösartigen Makros, erst dann zu agieren, wenn das Dokument geschlossen wird, erweitert laut Proofpoint den Zeitraum der Infektion und erzwingt ein längeres Monitoring durch die Sandbox. So sei es sogar möglich, dass die Infektion vollständig verpasst wird.
Konkret bedeutet das: Egal, wie lange die Sandbox wartet, es wird keine Infektion erfolgen. Wenn die Sandbox heruntergefahren oder beendet wird, ohne das Dokument zu schließen, wird die Infektion erst recht nicht entdeckt. Proofpoint rät daher davon ab, die Ausführung von Makros in Dokumenten generell zu gestatten.
Forscher des Security-as-a-Service-Anbieters Proofpoint haben eine neue Form der bereits im Dezember entdeckten Malware-Kampagne Dridex identifiziert. Hierbei handele es sich um ein Botnetz, das über Phishing-Mails ein schädliches, mit einem Makro-Infektions-Toolkit erstelltes Office-Dokument verbreitet. Dieses nutzt wiederum neue Verschleierungstechniken, um Sandboxen zu überlisten. Das Tückische an der nun “Maldoc” getauften Kampagne sei, dass das eingesetzte bösartige Makro erst beim Schließen des Dokuments den Download von Malware anstößt.
Um auf diesen Trend zu reagieren, sollen Sandboxen jetzt ebenfalls darauf programmiert werden, erst zu “warten”. Denn die Fähigkeit des bösartigen Makros, erst dann zu agieren, wenn das Dokument geschlossen wird, erweitert laut Proofpoint den Zeitraum der Infektion und erzwingt ein längeres Monitoring durch die Sandbox. So sei es sogar möglich, dass die Infektion vollständig verpasst wird.
Konkret bedeutet das: Egal, wie lange die Sandbox wartet, es wird keine Infektion erfolgen. Wenn die Sandbox heruntergefahren oder beendet wird, ohne das Dokument zu schließen, wird die Infektion erst recht nicht entdeckt. Proofpoint rät daher davon ab, die Ausführung von Makros in Dokumenten generell zu gestatten.
