Palo Alto Networks hat einen einzigartigen neuen Loader für Microsoft-Office analysiert, der böswillige Makros verwendet, die wiederum für die Verbreitung zahlreicher Malware-Familien verwendet werden. Der Loader wurde in über 650 einzigartigen Samples beobachtet. Diese waren bislang für 12.000 Angriffe in zahlreichen Branchen verantwortlich. Der überwiegend per E-Mail verbreitete Loader nutzt stark verschleierte böswillige Makros sowie eine Umgehung der Benutzerkontensteuerung (UAC, User-Account-Control).
Der Loader wird primär über Phishing-E-Mails ausgeliefert. Bei der Betrachtung der rund 12.000 bösartigen Sessions beobachteten die Forscher bestimmte Betreffzeilen und Dateinamen, die häufiger auftraten. Dabei handelte es sich meist um nachgeahmte Aufträge, Rechnungsnummern, Produktlisten, Verträge und andere vermeintlich geschäftsrelevante Dokumente. Am meisten von dieser Bedrohung betroffen waren Hightech-Unternehmen, Dienstleister, Rechtskanzleien und Behörden, wobei der Loader auch auf andere Branchen abzielte. Die Malware, die von diesem Loader heruntergeladen wurde, variierte. Insgesamt waren die folgenden Malware-Familien enthalten:
- LuminosityLink,
- KeyBase,
- PredatorPain,
- Ancalog,
- Bartallex,
- Pony sowie
- DarkComet.
Angesichts dieser großen Menge einfach verfügbarer Malware-Familien sowie deren Verbreitung im großen Stil, scheint dieser Loader in erster Linie für großflächige Kampagnen eingesetzt zu werden.
Die Analyse der verschiedenen Makros, die in allen Samples verwendet wurden, zeigte fast immer dieselbe Technik. Alle Makros wurden mit einer großen Menge an Datenmüll-Code und zufällig ausgewählten Variablen verschleiert. Hierzu kam höchstwahrscheinlich ein Builder zum Einsatz, um diese Variablen zu generieren.
Interessant an diesem neuen Loader ist, dass die Angreifer einen UAC-Bypass anlegen. Darüber hinaus zeigt die weit verbreitete Nutzung dieses Loaders seit Dezember letzten Jahres, dass er derzeit in zahlreichen Kampagnen verwendet wird. Bislang ist jedoch unklar, ob er von einer oder mehreren Gruppen verwendet wird. Ziel sind in jedem Fall mehrere Branchen und es werden ebenso gezielt mehrere Malware-Familien eingesetzt.
