Schadsoftware-Infektion via Office-DokumenteAnalyse eines Makro-freien Malware-Angriffs
Ein Gastbeitrag von
Paul Apostolescu
6 min Lesedauer
Im Jahr 2022 hat Microsoft damit begonnen, VBA-Makros für Microsoft Office standardmäßig zu deaktivieren. Ziel war es zu verhindern, dass Angreifer Makros nutzen, um eine Malware-Payload zu platzieren. Aber wie so oft, ist es Angreifern gelungen, sich rasch an die Veränderungen anzupassen und neue Wege, sprich Angriffsvektoren zu finden.
Cyberkriminelle finden immer wieder neue Wege, um Malware auf die Systeme ihrer Opfer zu laden. Selbst bei deaktivierten Office-Makros gibt es inzwischen Hintertüren für Ransomware und Remote Access Trojaner.
(Bild: Alexander Limbach - stock.adobe.com)
Im ersten Quartal 2023 konnten die Sicherheitsforscher der Vipre Security Group einen abrupten Anstieg von Microsoft OneNote-Dateien beobachten, die als Angriffsvektor genutzt wurden – geeignet verschiedene Malware-Familien wie AsyncRAT, RedLine, Qakbot usw. zu verbreiten. Parallel dazu wurde verstärkt sogenanntes HTML Smuggling genutzt, um Schadsoftware unterzubringen. Diesmal stießen die Forscher noch auf eine andere Art der Verbreitung, bei der sich Angreifer die Schwachstelle CVE-2022-30190 zunutze machen konnten.
Die SchwachstelleCVE-2022-30190, auch unter dem Namen Follina bekannt, wurde im Jahr 2022 entdeckt. Sie nutzt einen legitimen Microsoft-Dienst, Microsoft Support Diagnostic Tool (MSDT), der auf anfälligen Systemen eine Remotecodeausführung ermöglicht. Die Schwachstelle ist nicht neu, wird aber weiterhin ausgenutzt. Dabei kann ein Angreifer auf eine externe Ressource verweisen, die anschließend eine bösartige HTML-Seite aufruft. Diese Seite nutzt den MSDT-URI-Protokoll-Handler, um beliebigen Code oder Befehle auszuführen, z. B. PowerShell. Die Datei msdt.exe wird als untergeordneter Prozess gestartet, sobald das HTML-Dokument in WinWord referenziert wird.
Das Besondere daran ist, dass man kein Microsoft-Dokumentenmakro benötigt, um die Malware zu verteilen. Der Angreifer muss das Opfer nur dazu bringen, das speziell gestaltete Microsoft-Dokument zu öffnen, um die Schwachstelle ausnutzen zu können. Der Angriff lässt sich zudem unabhängig davon ausführen, ob die Datei schreibgeschützt oder im Protection Mode ist – und es ist bei allen Microsoft Office-Versionen möglich.
Erst kürzlich stieß Vipre Labs auf eine Malspam-E-Mail-Kampagne mit einem docx-Dateianhang. Beim Öffnen der Datei erhält das Opfer die Meldung „This document contains a link that may refer to another file. Do you want to update this document with the data from the link files? “ („Dieses Dokument enthält einen Link, der auf eine andere Datei verweisen kann. Möchten Sie dieses Dokument mit den Daten aus den Verknüpfungsdateien aktualisieren?“). Die Datei enthält auch eine willkürlich erstellte ID und Karteninformationen.
Das Opfer könnte fälschlich davon ausgehen, dass es sich um eine normale Microsoft-Dokument-Datei handelt. Das aber ist nicht der Fall, denn im Hintergrund laufen nun bösartige Aktivitäten ab. Eines der Beispiele ist eine verdächtige TCP-Verbindung zu 45[.]76[.]53[.]253, die verwendet wird, um bösartige Dateien zu hosten.
Für diese Art von Angriff hat Vipre Labs die im Word-Dokument gespeicherte Datei „document.xml.rel“ untersucht. Der Angreifer verändert diese Datei, und sie enthält zudem eine bösartige externe URL-Ressource, die aufgerufen wird, sobald das Opfer das Dokument anklickt. In „document.xml.rels“ steckt ein Relationship-Tag vom Typ „oleObject, targetMode external“, das auf eine verdächtige URL verweist. Am Ende der URL findet sich ein „!“-Zeichen, das eine wichtige Rolle beim Auslösen der HTML-Payload spielt.
Der gefundene referenzierte externe Ressourcenlink hxxp://45[.]76[.]53[.]253/24[.]html enthält ein Javascript, das MSDT und Invoke-Expression verwendet, um ein PowerShell-Skript auszuführen, das mit base64 kodiert wurde:
Dieses Skript lädt eine auf „hxxp://65[.]21[.]76[.]157/0524×8612[.]exe“ gehostete, ausführbare Datei mit dem Namen „wstmp.exe“ in das Verzeichnis %temp% herunter. Die heruntergeladene Payload wird dann mit Hilfe von „pcwut.dll“ und ihrer Funktion LaunchApplication ausgeführt. Das PowerShell-Skript beendet auch den untergeordneten Prozess msdt.exe, der zum Aufrufen der bösartigen externen Ressource diente. Das Opfer bemerkt die Ausführung des PowerShell-Skripts nicht, da sie aufgrund des Arguments „windowstyle hidden“ im Hintergrund abläuft.
Analyse der bösartigen Datei „wstmp.exe“
Die Sicherheitsforscher der Vipre Labs haben herausgefunden, dass die endgültige Payload für diese Kampagne mit der XWorm-Malware in Verbindung steht. XWorm ist eine ausgefeilte Art von Malware und wurde zusammen mit anderen bösartigen Tools im Dark Web verkauft. Diese Malware wurde in.NET kompiliert und ist ein Beispiel für einen Remote Access-Trojaner. Das analysierte Beispiel hat sich anhand der Dateiinformationen als eine Datei ausgegeben, die mit dem Antivirusprogramm „AVG“ in Verbindung steht. Die für die Ausführung zu verwendenden Zeichenfolgen sind verschlüsselt und werden mit dem Rijndael-Algorithmus entschlüsselt.
Verschlüsselte Daten
Entschlüsselter Wert
Verwendung
qnHEPIgMHs/dPMCMgzBbKj+Q1iV2TYINOOe1LpIrICc=
port3000newspm[.]duckdns[.]org
C2-Server
prm15cJXncKmjac47aHAmA==
3000
Port
A2vXrjTo3SRo0CuOifuHJw==
123456789
Schlüssel
Otu6jLKlPOiVYjEK+SKmkQ==
Xwormmm
SPL
GxATa6g51MsEXZHXcfH+uA==
USB.exe
USBNM
Sobald die Malware mit dem C2-Server des Angreifers verbunden ist, verfügt sie über folgende Eigenschaften und Fähigkeiten:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ransomware-ähnliches Verhalten (Verschlüsselung und Entschlüsselung von Dateien)
Stehlen vertraulicher Daten des Opfers, z. B. Passwörter
Ausspionieren des Opfer-Rechners (Keylogging, Webcam- und Mikrofonüberwachung)
Durchführen eines Denial-of-Service-Angriffs (DDoS)
Herunterfahren oder Neustart des Computers
Versteckte virtuelle Netzwerkberechnungen
Versteckte Remote-Desktop-Protokollierung (RDP)
Sich hartnäckig festsetzen
Wie kann man verhindern, Opfer solcher Angriffe zu werden?
Die E-Mail-Adresse des Absenders immer überprüfen
Den gesamten Inhalt der E-Mail analysieren
Nach Rechtschreib- oder Grammatikfehlern suchen
Keine verdächtigen oder unerwartet erhaltenen Links und Dateien anklicken
Das Antivirusprogramm kontinuierlich aktualisieren
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a2/8da27fc7c09f2450bd5214b4f257eb6d/0130046697v2.jpeg "Hybride Angriffe umfassen Cyberangriffe, Desinformationskampagnen, Sabotage an kritischen Infrastrukturen, psychologische Kriegsführung, Wirtschaftsspionage, politische Einflussnahme und Terrorismus, oft in Kombination, um Unsicherheit und Instabilität zu erzeugen. (Bild: © Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/65/d6/65d68a4361e126b94d503df6bb261ba3/0130366883v2.jpeg "Cyberkriminelle könnten sich mit den von AstraZeneca Zugang zu internen Systemen verschaffen, gezielte Phishing‑ und Supply‑Chain‑Angriffe starten, geistiges Eigentum stehlen oder sabotieren und das Unternehmen erpressen. (Bild: © elimicel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/64/54644475acec039714a3eccc088b6c43/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/76/73/76739779efb9769d8db4c9d4a39848ef/0130322258v2.jpeg "Digitale Energiedienste wie virtuelle Kraftwerke fallen mit NIS 2 erstmals unter neue IT-Sicherheitskataloge mit erweiterten Nachweispflichten. (Bild: © Sepia100 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/a3/eca37fce2ba0d38dad094cc1703dfe91/0130327741v2.jpeg "LLM-Fail: Eine vom Kunden gemeldete RCE-Sicherheitslücke wurde fälschlicherweise als „Low“ eingestuft. (Bild: © tadamichi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/03/b4/03b4c15b48445e79113c6b95bcf7317c/0129192770v1.jpeg "Lageansicht statt Monitorwand: In der Sicherheitszentrale erscheinen Türen, Kameras und Sensorik als Geopositionen. Videosequenzen werden erst bei korrelierten Signalen und nach Zonenüberschreitung in den Vorfallprozess eingeblendet. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/83/80832d33f44c7d00f2e5b873efb154de/0130371229v1.jpeg "Der Bundestag hat die Entwürfe zum Data Act und zum Daten Governance Gesetz mit Änderungen verabschiedet. Nun können die EU‑Vorgaben in deutsches Recht umgesetzt werden. (Bild: Casiana Malaia's via Canva)")
:quality(80)/p7i.vogel.de/wcms/71/b8/71b89342d5495344574b15b04a52df74/0130317518v2.jpeg "CRA und NIS2 fordern überprüfbare Software-Sicherheit. Hersteller müssen sichere Entwicklung attestieren, Betreiber diese Nachweise durch SBOM und Provenance validieren. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/3f/be3f0a2f5d8add0792f692767111cc40/0130308668v2.jpeg "Cyberkriminelle, die Netzwerkzugriff über HTTP erlangt haben, können anfällige Oralce-Instanzen übernehmen. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/d2/43d2604538d6ae5a50d26cccc98cb9e6/0130112281v1.jpeg "IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und bildet einen Ordnungsrahmen für die IT. (Bild: @indypendenz via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/a0/8a/a08ac0cb9a60ba7fa981a3b9ff8ba04f/0129989079v1.jpeg "BitLocker bietet mehrere Optionen zur Sicherung des Wiederherstellungsschlüssels, wie den Schlüssel auf einem USB-Laufwerk zu speichern oder in einem Microsoft-Konto zu hinterlegen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/67/47/6747f808e366c60193e3388ffdf99d6c/0112938199.jpeg "Angriffsverlauf, bei dem die als „Follina“ bekannte Schwachstelle ausgenutzt wird: Erst jüngst deckten die Sicherheitsforscher der VIPRE Labs eine neue Malspam-E-Mail-Kampagne auf, die einen \".docx\"-Anhang enthält. Der Dateianhang nutzt die Sicherheitslücke CVE-2022-30190 aus. Dazu wird im ersten Schritt eine Spam-E-Mail mit der manipulierten docx/rtf-Datei an das Opfer geschickt. In der Datei verbirgt sich ein Trojaner, der eine bösartige Referenzseite aufruft. Hier wird Javascript und eine kodierte Powershell geladen. Javaskript ruft anschließend ms-msdt auf, um Powershell auszuführen. Nach dem Herunterladen der manipulierten PowerShell wird die Malware-Payload auf dem Rechner des Opfers ausgeführt. (Bild: Vipre)")
:quality(80)/p7i.vogel.de/wcms/49/9b/499b127e2e307129ab57f94defa9ba80/0112938197.jpeg "So sieht die betreffende Malspam-E-Mail mit dem typischen docx-Anhang aus.(Bild: Vipre)")
:quality(80)/p7i.vogel.de/wcms/1c/94/1c94096bbb5f885f663d7d1b2ff3f83a/0112938200.jpeg "Die docx-Datei nach dem Öffnen.(Bild: Vipre)")
:quality(80)/p7i.vogel.de/wcms/64/8b/648be326552f844d3efd6d0c53944f14/0112938202.jpeg "Die Forscher der VIPRE Labs haben die im Word-Dokument gespeicherte Datei „document.xml.rel“ untersucht und eine verdächtige TCP-Verbindung in der geöffneten docx-Datei gefunden.(Bild: Vipre)")
:quality(80)/p7i.vogel.de/wcms/c0/df/c0df4b2e8ef61ceeab6ab50eac91e67b/0127003872v2.jpeg "Cyberkriminelle entwickeln neue Techniken und Methonden und nutzen immer häufiger legitime Tools aus, um Systeme zu kompromittieren. (©jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/6b/026b8e74ab52a461200667f858d3512e/0124726704v2.jpeg "PDF-Dateien sind weiterhin die meistgenutzten bösartigen Anhänge mit einem Anteil von 36 Prozent. Neu und bemerkenswert ist jedoch der rasante Anstieg von SVG-Dateien auf 34 Prozent. (Bild: © Joerg Habermeier - stock.adobe.com)")