Tuesday, March 21, 2023
Latest:

Malware Removed

Holen Sie sich die neuesten Updates für PC-Bedrohungen

News 

Ein Microsoft Office-Patch wird von Cyber-Gaunern verwendet, um Benutzerdaten zu stehlen

William Stuart

Online-Bedrohungen sind so weit verbreitet, dass die einzige Möglichkeit, sich vor den böswilligen Kampagnen und Absichten von Cyberkriminellen zu schützen, darin besteht, vollständig gesichert und geschützt zu sein.

Sophos, ein Cybersicherheitsunternehmen, enthüllte eine neue Untersuchung, die zeigt, dass ein öffentlich verfügbares Proof-of-Concept-Office von Bedrohungsakteuren verwendet wurde, um die Formbook-Malware zu verbreiten.

Angeblich haben die Cyber-Gauner einen Exploit entwickelt, der eine schwerwiegende Sicherheitslücke in Microsoft Office bei der Remotecodeausführung vermeiden könnte, die der Technologieriese Anfang dieses Jahres behoben hat.

Kriminelle umgehen kritischen Microsoft Office-Patch mit Exploit

Um zu verhindern, dass Hacker hasserfüllten Code ausführen, der in ein Word-Dokument implantiert wurde, hat Microsoft bereits im September einen Patch veröffentlicht.

Ein Microsoft Cabinet (CAB)-Archiv, an das eine schädliche ausführbare Datei angehängt ist, würde aufgrund dieses Fehlers automatisch heruntergeladen.

Cyber-Gauner machten dies möglich, indem sie den ursprünglichen Exploit veränderten und das boshafte Word-Dokument in ein speziell entwickeltes RAR-Archiv einfügten, das eine Art von Exploit hervorbrachte, die den ursprünglichen Patch erfolgreich umgehen konnte.

Darüber hinaus nutzten Angreifer Spam-E-Mails, um diesen neuesten Exploit ungefähr 36 Stunden lang zu verbreiten, bevor er endgültig veröffentlicht wurde.

Die Sicherheitsforscher von Sophos glauben, dass die unvollkommene Dauer des Exploits bedeuten könnte, dass es sich um einen Probelauf handelt, der bei zukünftigen Angriffen eingesetzt werden könnte.

Bei den Pre-Patch-Versionen des Angriffs handelte es sich um bösartigen Code, der in eine Microsoft Cabinet-Datei gepackt war. Als der Patch von Microsoft diese Lücke schloss, entdeckten Angreifer einen Machbarkeitsnachweis, der zeigte, wie man die Malware in ein anderes komprimiertes Dateiformat, ein RAR-Archiv, bündeln konnte. RAR-Archive wurden schon früher verwendet, um Schadcode zu verbreiten, aber der hier verwendete Prozess war ungewöhnlich kompliziert. Dies war wahrscheinlich nur deshalb erfolgreich, weil der Aufgabenbereich des Patches sehr eng definiert war und das WinRAR-Programm, das Benutzer zum Öffnen des RAR benötigen, sehr fehlertolerant ist und es anscheinend nicht stört, wenn das Archiv beispielsweise fehlerhaft ist, weil es manipuliert wurde.

Es wurde auch festgestellt, dass die potenziellen Angreifer ein ungewöhnliches RAR-Archiv erstellt hatten, bei dem ein PowerShell-Skript einem im Archiv gespeicherten böswilligen Word-Dokument vorangestellt war.

Die Betrüger entwickelten und verbreiteten betrügerische E-Mails, die die Empfänger aufforderten, die RAR-Datei zu dekomprimieren, um auf das Word-Dokument zuzugreifen, um dieses gefährliche RAR-Archiv und seinen hasserfüllten Inhalt zu verbreiten.

Denken Sie also immer daran, wenn Sie auf diese Anwendung stoßen und wenn etwas auch nur im Entferntesten ängstlich erscheint.