Unter Ausnutzung einer primitiven Windows-Technik, die auf automatisch ausgeführten Makros basiert, die in Microsoft Word-Dokumente eingebettet sind, wurde kürzlich eine neue Art von Mac-Malware-Angriff entdeckt. Wie in einer von Objective-See zusammengestellten Studie zum ersten Mal festgestellt, kann die verwendete Technik grob sein. Sobald jedoch ein ahnungsloser Benutzer ein infiziertes Word-Dokument öffnet und die Makros ausführt, installiert sich die Malware unbemerkt auf dem Ziel-Mac und versucht sofort, eine herunterzuladen gefährliche Nutzlast.
Der Angriff wurde erstmals in einer Word-Datei mit dem Titel "USA" entdeckt. Verbündete und Rivalen verdauen Trumps Sieg - Carnegie-Stiftung für internationalen Frieden. “
Öffnen Sie ein infiziertes Dokument in Word für Mac und klicken Sie auf Makros aktivieren Im Dialogfeld führt das eingebettete Makro die folgenden Aktionen aus:
- Überprüft, ob die LittleSnitch-Sicherheitsfirewall ausgeführt wird.
- Lädt eine verschlüsselte Nutzlast der zweiten Stufe herunter.
- Entschlüsselt die Nutzdaten mit einem fest codierten Schlüssel.
- Führt die Nutzlast aus.
Nach der Installation könnten die Nutzdaten möglicherweise Ihre Tastatureingaben protokollieren, die Kamera und die Systemzwischenablage überwachen, Screenshots machen, auf iMessage zugreifen, Ihren Browserverlauf abrufen und vieles mehr. Es wird auch automatisch nach einem Neustart ausgeführt.
Zum Glück wurde die Remote-Payload-Datei inzwischen vom Server entfernt.
Dies ist zwar gefährlich, aber keine besonders fortgeschrittene Angriffsform.
Sie können sich vor solchen Angriffen schützen, indem Sie darauf klicken Makros deaktivieren beim Öffnen eines verdächtigen Word-Dokuments. Angesichts der Verbreitung von makrobasierter Malware unter Windows verwundert es nicht, dass Microsoft in das Dialogfeld von Word eine eindeutige Warnung vor Viren aufgenommen hat.
Quelle: Objective-See über Ars Technica
