Neuer Schädling greift Windows und macOS an

Die Forscher von Fortinet haben ein Word-Dokument mit schädlichem VBA-Code entdeckt, der in der Lage ist, den Zielschädling sowohl auf das Apple-Betriebssystem Mac OS X als auch auf Windows zu laden.

Wie in vielen ähnlichen Fällen auch verleitet diese Datei beim Öffnen den Nutzer dazu, Makros zu aktivieren. Folgt der Nutzer dieser Anweisung, wird VBA ausgeführt und automatisch wird die Funktion AutoOpen() aufgerufen. Diese Funktion liest den mit base64 verschlüsselten Wert der Comments-Eigenschaft des Dokuments. Wie sich zeigte, handelt es sich dabei um ein Python-Skript, das unter Windows und Mac OS X auf unterschiedliche Weise funktioniert.

Da Python auf Mac OS X vorinstalliert ist, werden solche Skripte auf diesem Betriebssystem standardmäßig ausgeführt. Das Infektionsschema ist hier daher sehr unmittelbar: Das integrierte Skript lädt von einer auswärtigen Adresse eine Datei, ebenfalls ein Python-Skript, das ausgeführt wird und versucht, sich mit dem Server der Angreifer zu verbinden. Laut Aussage der Forscher handelt es sich bei dem zu ladenden Skript um eine modifizierte Version der Meterpreter-Datei, die dem Metasploit-Framework im November 2015 hinzugefügt wurde.

Meterpreter ist eine erweiterte Komponente, die die Technik der schrittweisen dll-Einschleusung in den Speicher verwendet. Dieses Tool wird normalerweise für Pen-Tests benutzt, doch auch einige Verbrechergruppen verwenden es, unter anderem GCMAN, eine erst kürzlich von Kaspersky Lab identifizierte cyberkriminelle Gruppierung, die ebenfalls mit einem „dateilosen“ Schädling operiert.

Das Schema, das auf Windows das Exploit aktiviert, ist etwas komplexer. Aus den mit base64 verschlüsselten Daten wird ein Powershell-Skript extrahiert, das einen anderen Teil des Codes entpackt und damit ein weiteres Powershell-Skript freisetzt. Die Ausführung des letztgenannten führt zum Download einer Datei aus dem Netz – einer 64-Bit-dll, die in der Lage ist, mit ihrem Server zu kommunizieren. Eine Analyse hat gezeigt, dass dieses Schema nur auf 64-Bit Windows-Systeme ausgerichtet ist.

Während die Forscher sich durchaus vorstellen können, wie dieser Schädling verbreitet wird, liegen die Ziele seiner Betreiber noch im Dunkeln. In einem Kommentar gegenüber Threatpost erklärte Peixue Li, Senior Manager der Abteilung Service Development and Security Research bei FortiGuard, dass im Laufe der Untersuchungen des Samples Versuche beobachtet wurden, sowohl auf Windows als auch auf Mac OS X eine TCP-Session zu eröffnen, doch der Server der Cybergangster hat nicht ein einziges Mal geantwortet. Wireshark gab jedes Mal eine Fehlermeldung für die TCP-Verbindung aus.

Makro-Schädlinge für macOS sind keine absolute Neuheit mehr, sehr lange gibt es sie allerdings auch noch nicht. So berichteten die Forscher von Synack im Februar über eine analoge Entdeckung, in ihrem Fall wurde das schädliche Makro allerdings ausschließlich auf Macs ausgeführt. Bei Aktivierung verschlüsselte es Daten und führte sie mit Hilfe eines Python-Skriptes aus, das aus einem anderen Projekt übernommen worden war, und zwar EmPyre. Im Gespräch mit den Journalisten von Threatpost erklärte Li den Unterschied: „Das von uns analysierte Schadprogramm greift sowohl Mac OS als auch Windows an… Der von dem Schädling nach dem Exploit verwendete Python-Agent ist ein anderer. Dort ist es EmPyre, hier Meterpreter. Es ist nicht ausgeschlossen, dass Plattform übergreifende Schädlinge auf der Basis von Makro-Code sich zu einem Trend entwickeln.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.