Dateiloses Erpresserprogramm greift im Gesundheitswesen an

Cyberkriminelle hören nicht auf, mit erpresserischen Verschlüsselungsprogrammen zu experimentieren und sie testen dabei verschiedene Infektionsmethoden aus. Bei der Untersuchung eines Cybervorfalls bei einem Unternehmen aus dem Gesundheitswesen entdeckten die Experten von Carbon Black eine neue Spielart eines Erpresserschädlings, der mit Hilfe von Microsoft Word und der Komponente Windows PowerShell in Umlauf gebracht wird.

Die Erpressersoftware mit dem Namen PowerWare unterscheidet sich dadurch von einfachen Verschlüsselungsschädlingen, dass sie dateilos ist. Diese Technik wurde früher schon von den Betreibern des Exploit-Packs HanJuan eingesetzt, und vor kurzem erst von dem Spionage-Schadprogramm PowerSniff.

Laut Angaben von Carbon Black wird der neue Erpresserschädling über Spam-Mails mit angehängtem Word-Dokument verbreitet, das als Rechnung getarnt ist. Beim Öffnen dieser Datei wird der Empfänger aufgefordert, Makros zu aktivieren – angeblich, um eine adäquate Darstellung zu gewährleisten. Folgt der Nutzer dieser Aufforderung, wird der Prozess cmd.exe erstellt und daraufhin PowerShell zum Laden und Starten eines schädlichen Skriptes aufgerufen. Durch Verwendung von PowerShell kann in diesem Fall auf das Schreiben von Dateien auf die Festplatte verzichtet werden und sie ermöglicht es dem Schädling dabei, sich mit legitimer Aktivität auf dem Computer einzufügen.

„Die Makrobefehle werden hier benutzt, um PowerShell zu starten und das Erpresser-Skript zu laden“, erläutert Rico Valdez, Senior Threat Intelligence Researcher bei Carbon Black, gegenüber den Journalisten von Threatpost. „Viele Schädlinge werden über Makros in Word-Dokumenten verbreitet. In den meisten Fällen lädt das Makro weiteren binären Code, der weitaus schädlicher ist (Backdoors usw.). Hier werden keine weiteren Binärdateien mehr geladen, die ganze Drecksarbeit übernimmt PowerShell (das bereits im System vorhanden ist, und zwar ganz legal).“

Nach den Worten von Valdez benutzt der neue Schädling nach erfolgreicher Kompromittierung PowerShell auch zur Verschlüsselung der Dateien. „Das Programm, das die Verschlüsselung der Dateien faktisch vornimmt, ist PowerShell“, erklärte der Experte. „Ein entsprechendes Skript wird geladen und an PowerShell verfüttert. Wir haben es also hier nicht mit traditioneller Malware zu tun und zusätzlicher ausführbarer Code ist auch nicht nötig, alles was gebraucht wird, ist ein Textdokument (Skript).“

Die Dateien des Opfers werden verschlüsselt, für den Dechiffrierungsschlüssel fordern die Cyberkriminellen 500 Dollar; zwei Wochen nach der Infektion verdoppelt sich diese Summe.

PowerWare ist nicht der einzige Verschlüsselungsschädling, der Makros in Microsoft Office benutzt, um Computer zu infizieren, und das, obwohl sie auf Windows-Rechnern standardmäßig deaktiviert sind. So hat auch Locky diesen Vektor bereits ausprobiert, der vor kurzem medizinische Einrichtungen in Hollywood und Kentucky angegriffen hat. Doch derselbe Locky benutzte Makros auch, um Dateien auf einen kompromittierten Rechner zu laden, und das versucht PowerWare nicht.

„Diese Attacke setzt auf die Überzeugungskraft von Social Engineering, das in der Lage ist, den Nutzer dazu zu bringen, Makros zu aktivieren“, kommentiert Valdez. „Makros sind in viele Word-Dokumente und Excel-Tabellen integriert, so dass der Nutzer unter Umständen nichts Böses ahnt – je nachdem, wie erfahren er ist und in welcher Umgebung er arbeitet.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.