Infektion ohne Mausklick

Malware nutzt Mouse-Over-Effekt bei PowerPoint

| Redakteur: Peter Schmitz

Eine neue Malware infiziert Systeme, wenn der Mauszeiger über ein mit einem Link unterlegtes Bild oder Text in einer PowerPoint-Präsentation fährt (Mouse Over). In neueren Office-Versionen deaktiviert Protected View standardmäßig verdächtige Inhalte.
Eine neue Malware infiziert Systeme, wenn der Mauszeiger über ein mit einem Link unterlegtes Bild oder Text in einer PowerPoint-Präsentation fährt (Mouse Over). In neueren Office-Versionen deaktiviert Protected View standardmäßig verdächtige Inhalte. (Bild: Trend Micro)

Der Trojaner-Downloader TROJ_POWHOV.A nutzt den Mouse-Over-Mechanismus in PowerPoint-Dateien vom Typ PPS und PPSX. Sobald ein Nutzer den Mauszeiger über ein infiziertes Text- oder Bildelement bewegt, wird Schadsoftware auf dessen Computer installiert.

Malware ist eine vielseitige Bedrohung mit immer neuen Fähigkeiten. Dennoch greifen die meisten Angreifer bei ihrer Übertragung auf altbewährte Methoden zurück. Erst kürzlich haben die Sicherheitsforscher von Trend Micro jedoch eine neue Angriffstechnik ausfindig machen können: Der Trojaner-Downloader TROJ_POWHOV.A nutzt den Mouse-Over-Mechanismus in PowerPoint-Dateien vom Typ PPS und PPSX. Sobald ein Nutzer den Mauszeiger über ein infiziertes Text- oder Bildelement bewegt, wird Schadsoftware auf dessen Computer installiert. Für diesen Vorgang ist kein Mausklick nötig.

In einer kürzlich erfolgten Spam-Kampagne, die vor allem europäische Unternehmen im Visier hatte, konnten die Experten von Trend Micro diesen Mechanismus zum ersten Mal identifizieren. Die Schadsoftware, die im Zuge der Angriffe auf die Computer geladen wurde, ist unter dem Namen OTLARD oder Gootkit bekannt. Dabei handelt es sich um bekannte Malware, die zur Ausspionierung sensibler Daten geeignet ist, die aber auch direkte Eingriffe auf infizierten PCs ermöglicht.

So infiziert die Malware Systeme

Die Schadsoftware startet als Spam-Mail, die sich als Rechnung oder Auftrag tarnt, und einem bösartigen Microsoft PowerPoint Open XML Slide Show (PPSX) oder PowerPoint Show (PPS)-Dateianhang. PPS/PPSX-Dateien können anders als PowerPoint-Präsentationsdateien (PPT oder PPTX) nicht editiert werden. Sie werden als fertiges Produkt betrachtet und werden direkt im Präsentations-/Slideshow-Modus geöffnet.

Sobald das potenzielle Opfer die Datei herunterlädt oder öffnet, bedarf es einer Nutzerinteraktion – über den bösartigen Link fahren (stößt eine Mouseover-Aktion an). Microsoft deaktiviert standardmäßig den Inhalt von verdächtigen Dateien — via Protected View in neueren Office-Versionen. Damit soll das Risiko der Ausführung von bösartigen Routinen verringert werden, so etwa von Makros und Object Linking and Embedding (OLE). Die bösartige Mouseover-Technik benötigt keine zusätzlichen oder initialen Vektoren, um die Payload abzulegen, sodass die Infektionskette schlanker ist.

Sobald der Inhalt aktiviert ist, wird ein eingebettetes bösartiges PowerShell Skript ausgeführt, das einen weiteren Downloader (JS_NEMUCOD.ELDSAUGH) als JScript Encoded File (JSE) herunterlädt, der schließlich die Payload vom Command-and-Control (C&C)-Server holt.

Der Trick funktioniert nicht in Microsoft PowerPoint Online oder Office 365 „web mode”, weil diese die Aktionsfunktionalität, die es in Offline/Desktop-Versionen gibt, nicht anbieten. Ein Office 365-Endbenutzer kann dennoch betroffen sein, wenn er auf sein Konto zugreift und über einen Client eine bösartige Datei öffnet.

Abwehrmaßnahmen

Es ist damit zu rechnen, dass es sich bei der kürzlich erfolgten Spam-Welle um einen Testlauf für Angriffe von deutlich größerem Umfang handelt. Der neue Angriffsmechanismus kann auch als Einfallstor für andere Malware, wie z.B. Ransomware, genutzt werden. Als erste Maßnahme empfehlen die Experten von Trend Micro daher, PowerPoint-Präsentationen von unbekannten Absendern nur in der geschützten Ansicht zu öffnen. Zudem sollten Anwender in jedem Fall Office mit Protected View nutzen. Weitere Best Practices zur Prävention von Angriffen listet Trend Micro am Ende des Blogeintrags zum Trojaner auf.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44738009 / Malware)