PowerPoint: Bewegung des Mauszeigers bringt Malware in Aktion
Nutzer des Microsoft-Klassikers PowerPoint sind aktuell einer besonders raffinierten Bedrohung ausgesetzt: Angreifern ist es gelungen, den Code einer Malware dadurch zur Ausführung zu bringen, dass der Nutzer lediglich seinen Mauszeiger bewegt.
Laut einer Analyse des dafür eingesetzten Schadcodes durch Sicherheitsforscher des Unternehmens Cluster25 steht hinter der Sache eine Gruppe, die als APT28 oder auch als "Fancy Bear" bezeichnet wird. Es sind russische Hacker, die nach allgemeiner Einschätzung mit dem russischen Geheimdienst GRU zusammenarbeiten oder ganz in dessen Diensten stehen.
Gefunden wurde die entsprechende Malware in einer PowerPoint-Datei, die angeblich von der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) stammt. In der Datei befinden sich lediglich zwei harmlos aussehende Folien, die auf Englisch und Französisch die Nutzung der Dolmetscheroption in der Videokonferenz-App Zoom beschreiben.
Das Ziel der Malware-Kampagne, die aktuell wahrscheinlich noch aktiv läuft, ist mit hoher Wahrscheinlichkeit die Spionage bei verschiedenen staatlichen Einrichtungen in Europa. Das würde zum Tarn-Dokument und auch zu den Aktivitäten der Malware passen. Angesichts der Herkunft des Schadcodes bettet sich das Auskundschaften von Informationen wahrscheinlich in den Krieg gegen die Ukraine ein.
Die Angriffe nutzen dabei verschiedene Komponenten, die auch schon in anderen Fällen beobachtet wurden. So basiert die Malware selbst wohl auf der Graphite-Familie. Und für den dauerhaften Zugang zum gewünschten System rufen die Angreifer OAuth-Tokens ab, wie man es kürzlich bereits bei Attacken auf Exchange Online beobachtete.
Siehe auch:
Gefunden wurde die entsprechende Malware in einer PowerPoint-Datei, die angeblich von der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) stammt. In der Datei befinden sich lediglich zwei harmlos aussehende Folien, die auf Englisch und Französisch die Nutzung der Dolmetscheroption in der Videokonferenz-App Zoom beschreiben.
Bekannte Einzelteile
Überdies ist das File so manipuliert, dass eine Malware ohne die Verwendung der üblichen Makro-Skripte zur Ausführung gebracht werden kann. Der eingebettete Schadcode reagiert auf eine Mausbewegung und sorgt dafür, dass ein PowerShell-Skript ausgeführt wird. Dieses lädt dann weitergehenden Code aus einem OneDrive-Speicherplatz auf das lokale System.Das Ziel der Malware-Kampagne, die aktuell wahrscheinlich noch aktiv läuft, ist mit hoher Wahrscheinlichkeit die Spionage bei verschiedenen staatlichen Einrichtungen in Europa. Das würde zum Tarn-Dokument und auch zu den Aktivitäten der Malware passen. Angesichts der Herkunft des Schadcodes bettet sich das Auskundschaften von Informationen wahrscheinlich in den Krieg gegen die Ukraine ein.
Die Angriffe nutzen dabei verschiedene Komponenten, die auch schon in anderen Fällen beobachtet wurden. So basiert die Malware selbst wohl auf der Graphite-Familie. Und für den dauerhaften Zugang zum gewünschten System rufen die Angreifer OAuth-Tokens ab, wie man es kürzlich bereits bei Attacken auf Exchange Online beobachtete.
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon