Forscher von Fortinet entdecken eine Malware, die Microsoft- und Apple-Betriebssysteme infiziert

Malware-Forscher von Fortinet haben ein zur Waffe umgewandeltes Word-Dokument entdeckt, das den Infizierungsprozess auf Microsoft- und Apple-Betriebssysteme startet.

Malware-Forscher von Fortinet haben ein zur Waffe umgewandeltes Word-Dokument entdeckt, das den Infizierungsprozess auf Microsoft- und Apple-Betriebssysteme startet.

Sicherheitsforscher von Fortinet haben ein gefährliches Word-Dokument entdeckt, welches entworfen wurde, um Malware auf Microsoft Windows oder Mac OS X zu verbreiten. Sobald das Dokument geöffnet wird kann die Malware feststellen, welches Betriebssystem der Benutzer verwendet und startet unverzüglich den Angriff.

Das Dokument trickst das Opfer dazu, Macros zu aktivieren, damit anschließend der bösartige VBA-Code ausgeführt werden kann.

Sobald der VBA-Code ausgeführt wurde, erfolgt ein Aufruf der AutoOpen()-Funktion. Es liest zuerst die Daten der Kommentar-Eigenschaft der Word-Datei (base64-codierter String) aus. Abhängig vom Betriebssystem kommt danach ein bestimmtes Skript zur Ausführung.

Nachdem das Initial-Skript auf Mac OS X gestartet wurde, erfolgt der Download einer bösartigen Datei mit einem weiteren in python verfassten Skript – Eine direkte Kommunikation mit dem Kontroll-Server wird damit ausgelöst.

„Wenn das Python-Skript ausgeführt wird lädt es sich eine Datei von „https://sushi.vvlxpress.com:443/HA1QE“ herunter und führt diese aus. Das heruntergeladene Skript ist eine leicht modifizierte Version der Python-Meterpreter-Datei, ein Teil des Metasploit Frameworks“ heißt es in der von Fortinet veröffentlichten Analyse. „Der Quell-Code des Projektes kann unter der folgende URL herungergeladen werden: https://github.com/rapid7/metasploit-payloads/blob/master/python/meterpreter/meterpreter.py“.

Das obige Skript ist eine Version der Python-Meterpreter-Datei, welche den In-Memory DLL-Injection-Mechanismus beeinflusst.

Ein ähnliches Verfahren wurde von der kriminellen Bande, verfolgt als GCMAN und einer Gruppe von Kriminellen, welche eine Hacking-Kampange angetrieben haben, die auf die fileless maleware im Februar zurück zu führen ist, implementiert.

Das Skript, welches für den Angriff auf Windows Systemen verwendet wird, ist viel anspruchsvoller. Es implementiert „matryoshka“-Mechanismen von Powershell-Skripts und gemäß den Forschern funktioniert es lediglich auf 64-Bit Versionen von Windows.

Jede Schicht ist base64-codiert. Sobald die letzte Stufe ausgeführt ist, lädt sich das Skript, eine 64-Bit DLL-Datei herunter, welches sich danach ausführt und mit dem Kontrollserver kommuniziert.

Die Malware Forscher von Fortinet analysieren den bösartigen Code weiterhin.

Mit freundlicher Genehmigung aus dem englischen Original von Pierluigi Paganini