Microsoft Office: Angreifer verteilen Dridex-Banking-Trojaner über Zero-Day-Lücke
Die Zero-Day-Lücke in Microsoft Office wird intensiv genutzt, um den Dridex-Banking-Trojaner zu verbreiten. Millionenfach versandte E-Mails transportieren präparierte Dokumente. Bereits die Öffnung einer RTF-Datei mit DOC-Dateiendung sorgt unter Umständen für eine Infektion mit einem Banking-Trojaner. Die Sicherheitsfirma Proofpoint berichtet von Millionen E-Mails mit präparierten Dokumenten, die an zahlreiche Organisationen vor allem in Australien versandt wurden. Von der Schwachstelle sind alle Office-Versionen bis hin zu Office 2016 unter Windows 10 betroffen. Exploits sind offenbar bereits seit Ende Januar im Umlauf.
Die Hintermänner des Dridex-Botnetzes verlassen sich in der Regel auf angehängte Dokumente mit Makros, um den Dridex-Banking-Trojaner zu verbreiten, erläutern die Sicherheitsforscher. Dabei sind sie jedoch auf unvorsichtig klickende Empfänger angewiesen, die vorsätzlich Malware auf ihren Geräten installieren. Mit der Zero-Day-Lücke haben sie es noch viel leichter, insofern sie nicht behoben ist. Dabei nutzen sie die Anfälligkeit mit einem speziell präparierten Dokument im Rich Text Format (RTF) mit DOC-Dateiendung.
Die in der Kampagne beobachteten Mails scheinen aus der Domain des Empfängers zu kommen mit vorgetäuschten Absendern wie „dokumente@[empfänger]“. Sie haben den Betreff „Scan Data“ und transportieren Anhänge wie „Scan_123456.doc“. Mehr Mühe mit Social Engineering geben sich die Angreifer in diesem Fall nicht. Stattdessen wollen sie offenbar nur möglichst schnell das Sicherheitsloch ausnutzen.
Sicherheitslücken erkennen: Die incoperating als IT-Dienstleister für IT-Sicherheit
Die Schwachstelle wird nicht über Makro-Skripte genutzt, sondern über ein eingebettetes OLE-Objekt, das automatisch zur Ausführung kommt, wenn der Empfänger die Datei öffnet. Sofern der Exploit erfolgreich ist, sorgt er für die Installation von Dridex Botnet ID 7500. Die Sicherheitsexperten testeten das beispielsweise auf Office 2010, bei dem es zu einer vollständigen Kompromittierung kam. Nutzer wurden auf enthaltene Links, die sich auf andere Dateien beziehen könnten, aufmerksam gemacht. Danach war eine weitere nutzerseitige Interaktion jedoch nicht mehr erforderlich.
Das Dridex Botnetz verteilte teilweise Antiviren-Software von Avira anstelle von Banking-Malware. Es widerstand auch Polizeiaktionen, mit denen internationale Sicherheitsbehörden das Botnetz zwar vorübergehend eindämmen, aber nicht vollständig abschalten konnten.
Am 11. April haben Microsoft ein Sicherheitsupdate herausgebracht, welches diese Gefahr eindämmen soll. Mit der incoperating als IT-Dienstleister haben Sie die Garantie, dass Updates solcher Art von Ihrem IT-Spezialisten schnellstmöglich und bequem durchgeführt werden und Sie auch bereits im Vorfeld ausreichend geschützt sind. Wenn Sie hierfür ein IT-Unternehmen suchen, rufen Sie uns gerne bei Fragen zu diesem Thema bzw. IT-Service im Allgemeinen an oder schreiben Sie uns eine E-Mail.
Originalartikel: http://www.zdnet.de/88291971/microsoft-office-angreifer-verteilen-dridex-malware-ueber-zero-day-luecke/