Es ist nicht ungewöhnlich, dass Cyberkriminelle mithilfe speziell gestalteter Microsoft Office-Dateien, insbesondere Word-Dokumente, die an Spam-E-Mails angehängt werden, Malware an Hacker-Computer übermitteln. Diese Angriffe basieren in der Regel auf Social Engineering, um den Zielbenutzer dazu zu bringen, in das Dokument eingebettete VBA-Makros zu aktivieren.
Aber jetzt wurde ein neuer Social-Engineering-Angriff entdeckt, bei dem Benutzer keine Makros aktivieren müssen. Forscher des Sicherheitsunternehmens SentinelOne haben kürzlich entdeckt, dass eine Gruppe von Hackern PowerShell-Befehle eingebettet in a PowerPoint (PPT)-Datei um Malware auf einem Zielsystem auszuführen, ohne Makros, JavaScript oder VBA-Makros zu benötigen.
Diese bösartigen PowerPoint-Dateien verbreiten eine Malware namens 'Zusy' ein Banking-Trojaner, der auf Finanz-Websites abzielt. Diese Dateien mit dem Namen „order.ppsx“ oder „invoice.ppsx“ wurden über Spam-E-Mails mit Titeln wie . verbreitet „Bestellung #130527“ und "Bestätigung."
Darüber hinaus wird der im Dokument versteckte bösartige PowerShell-Code ausgelöst, sobald das Opfer mit der Maus über einen Link fährt, der eine zusätzliche Nutzlast auf den Computer des Opfers herunterlädt – auch ohne darauf zu klicken.
Wenn die bösartige PowerPoint-Datei geöffnet wird, wird ein Bildschirm mit einem einzigen Link angezeigt, der besagt: "Laden, bitte warten":
Fährt ein Benutzer mit der Maus über den Link – auch ohne darauf zu klicken, führt PowerPoint automatisch den PowerShell-Code aus, ein externes Programm. Der Code wird jedoch nicht automatisch ausgeführt, sobald die Datei geöffnet wird. Das standardmäßig in den meisten unterstützten Versionen von Office, einschließlich Office 2013 und Office 2010, aktivierte Sicherheitsfeature Geschützte Ansicht zeigt eine schwerwiegende Warnung an und fordert sie auf, den Inhalt zu aktivieren oder zu deaktivieren.
Wenn der Benutzer diese Warnung vernachlässigt und die Anzeige des Inhalts zulässt, wird der PowerShell-Code ausgeführt und eine Domäne namens „cccn.nl“ kontaktiert. Von dieser Domain wird eine Datei heruntergeladen und ausgeführt, die schließlich für die Auslieferung einer neuen Variante des Banking-Trojaners Zusy, Tinba und Tiny Banker verantwortlich ist.
Die Sicherheitsforscher wiesen auch darauf hin, dass der Angriff zwar nicht funktioniert, wenn die bösartige Präsentation mit dem PowerPoint Viewer geöffnet wird und die meisten Office-Versionen den Benutzer warnen, bevor der Code ausgeführt wird, die Methode jedoch in einigen Fällen dennoch effizient sein könnte.
„Benutzer können externe Programme trotzdem irgendwie aktivieren, weil sie faul sind, es eilig haben oder nur daran gewöhnt sind, Makros zu blockieren. Außerdem sind einige Konfigurationen möglicherweise beim Ausführen externer Programme freizügiger als bei Makros“, sagte SentinelOne Labs in a Blog-Post .
