pixel_dreams - Fotolia

Malware in PowerPoint-Datei nutzt Mouseover-Effekt

Bei einer präparierten PowerPoint-Datei genügt es, wenn der Anwender mit der Maus über ein Bild oder Text fährt, um die Schadsoftware zu laden.

Trend Micro hat diesen Mechanismus zum ersten Mal bei einer Spam-Kampagne identifiziert, die europäische Unternehmen im Visier hatte. Die Spam-Mail tarnt sich als Rechnung oder Auftrag und hat eine präparierte PowerPoint-Slide-Show im Gepäck. Diese haben das Dateiformat PPS oder PPSX und können anders als die PPT/PPTX-Dateien nicht editiert werden.

Bei dieser Schadsoftware wird die Aktion missbraucht, die ausgelöst wird, wenn der Mauszeiger über ein mit einem Link unterlegten Bild oder Text fährt. Ist der Inhalt von Endanwender aktiviert und fährt der Nutzer mit dem Mauszeiger über den Link, startet ein PowerShell-Skript. Dieses lädt seinerseits einen weiteren Downloader als JScript Encoded File herunter. Jener holt wiederum den eigentlichen Payload vom C&C-Server. Diese Mouseover-Technik würde keine weiteren Vektoren benötigen, um den Payload abzulegen. Mit der Online-Variante von PowerPoint soll dieser Angriff nicht funktionieren.

Malware in PowerPoint-Datei nutzt Mouseover-Effekt
Abbildung 1: Hier ein Beispiel einer präparierten PPSX-Datei mit der entsprechenden Sicherheitsmeldung. Ist der Inhalt aktiviert, genügt es, wenn der Mauszeiger über den Link fährt, um die Schadsoftware zu laden.

Nach Angaben von Trend Micro hat der überwachte Downloader eine Variante des OTLARD Banking Trojaners als Payload. Diese Malware wird zum Ausspionieren von sensiblen Daten genutzt, erlaubt aber auch direkte Eingriffe auf dem infizierten System.

Nach Ansicht von Trend Micro könnte es sich bei der kürzlich erfolgten Spam-Welle um einen Testlauf für erheblich größere Angriffe handeln. Die verwendete Technik könne auch für die Verbreitung von Ransomware genutzt werden. Trend Micro hat ausführliche Informationen zu der Malware und der verwendeten Technik in einem Blogbeitrag zusammengefasst.

Standardmäßig sollte die „Geschützte Ansicht“ für Office-Dateien aktiviert sein, die den Anwender vor verdächtigen Inhalten schützen soll. Das Ausführen von Makros oder OLE-Funktionen soll so unterbunden werden. Endanwender sollten daher PowerPoint-Dateien von unbekannten Absendern nur in dieser geschützten Ansicht betrachten. Darüber hinaus können Admins die Ausführung von PowerShell-Skripte, die nicht aus der lokalen Umgebung stammen, über die Ausführungsrichtlinie entsprechend unterbinden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

 

Nächste Schritte

Kostenloses E-Handbook: Die Sicherheit von Windows und Office 365 verbessern

Office 365 Secure Score: Office-Sicherheit optimieren

Die Sicherheit der PowerShell per Gruppenrichtlinie optimieren

System und Anwendungen gegen Attacken schützen

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close