Zusy PowerPoint-Malware: Download durch Zeigen auf Link

Publiziert am 12. Juni 2017 von Günter Born

Sicherheitsforscher haben eine Malware entdeckt, die über PowerPoint-Dateien verteilt wird. Dabei muss nicht mal ein Link angeklickt werden, das Zeigen auf den Link reicht, um den Download der Malware anzustoßen. Es erfolgt zwar eine Warnung, aber Nutzer könnten diese ignorieren. Makros werden zur Ausführung ebenfalls nicht benötigt.

Anzeige

Verteilung per fingierter Rechnung

Die Entdeckung der Zusy genannten Malware erfolgt durch SentinelOne-Sicherheitsforscher, die den Fall in diesem Beitrag beschreiben. Die Malware wird über Spam-E-Mails in Form fingierter Rechnungen die im Betreff so etwas wie "Purchase Order #130527" und "Confirmation" aufweisen, verteilt, (die adressieren momentan keine deutschsprachigen Nutzer). An der E-Mail ist eine PowerPoint-Datei als Anhang beigefügt, in der die Details zu finden seien.

(Quelle: SentinelOne)

Die PowerPoint-Datei weist nur den obigen Link auf. Das reizt natürlich zum Klicken, falls sich nichts tut. Da die Nutzer aber möglicherweise gewarnt sind, wird nicht jeder auf den Link klicken – und die Makroausführung ist aus Sicherheitsgründen auch deaktiviert.

MouseOver reicht zum Download

Neu an der Malware ist jedoch der Umstand, dass bereits ein Zeigen per Maus auf den obigen Link ausreicht, um die Malware herunterzuladen und auszuführen. Es sind auch keine Makros erforderlich. Vielmehr veranlasst das MouseOver-Ereignis PowerPoint ein externes Programm auszuführen. Im aktuellen Fall ist das PowerPoint, um ein zusätzliches Script auszuführen, welches die Malware herunterlädt. SeninelOne schreibt aber, dass sowohl PowerPoint 2010 als auch 2013 eine Sicherheitswarnung anzeigen.

PowerPoint Warnung (Zusy)

(Quelle: SentinelOne)

Der PowerPoint-Viewer scheint dagegen die Malware nicht herunter zu laden. Weitere Details sind bei SentinelOne sowie in diesem Blog-Beitrag beschrieben. Was Nutzer und Administratoren wissen sollten: Dieser Malware-Angriff erfolgt über PowerPoint, Makros und Anklicken des Links sind nicht mehr erforderlich. Das sind zwei neue Ansätze, die mir so noch nicht untergekommen sind. (via)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.