VBA-Schädlinge noch immer weit verbreitet

Laut Angaben von Sophos sind im Untergrund des Internets hunderte Schablonen mit schädlichem VBA-Code verfügbar, den Cyberkriminelle laden und in eine doc- oder docx-Datei einfügen können, um ihn dann mittels Spam in Umlauf zu bringen. In den letzten paar Monaten registrieren die Forscher täglich 50-100 Samples derartiger Software, die Nutzer von Word mit aktiver Makros-Funktion angreift (in Microsoft Office ist diese per Standardeinstellung deaktiviert).

Eine Zunahme der Zahl von Schädlingen in VBA (Visual Basic for Applications) haben im laufenden Jahr auch andere Experten festgestellt. Die Beobachtungen von Sophos bestätigen, dass ein schädliches Makro in den meisten Fällen als Downloader fungiert, mit Hilfe dessen Cyberkriminelle Bank-Schädlinge (Dridex, Dyreza, ZeuS) oder Erpresserprogramme (CryptoWall) auf die Computer der Nutzer befördern.

Von Zeit zu Zeit experimentieren die Angreifer laut Sophos auch mit anderen Formaten, und zwar XML, MHTML, RTF und sogar PDF. Um den VBA-Code vor Analyse zu schützen, wenden sie verschiedene Obfuskationsmethoden an – Verwürfelung, Base64-Kodierung oder XOR-Operationen, oder sie benutzen einfach kommerzielle Obfuskatoren wie etwa CrunchCode. Dabei kümmern sich die Cyberkriminellen wenig um die Ausführungsgeschwindigkeit; in dem Bestreben, ihr Machwerk vor Entdeckung zu schützen, verkomplizieren sie nun den Code, indem sie überflüssige Operationen und Aufrufe exotischer Systemfunktionen hinzufügen, gleichzeitig aber auch über die Maßen die Ausführungszyklen der Funktionen verlängern.

Um eine Infektion zu vermeiden, empfehlen die Experten den Anwendern, Aufforderungen von unbekannten Quellen, Makros in Dokumenten zu aktivieren, einfach zu ignorieren und außerdem Office-Dateien mit Makros zu blockieren, die von externen Quellen an Unternehmensadressen geschickt werden.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.