Sophos warnt vor Rückkehr von Visual Basic Malware

SicherheitSicherheitsmanagementVirus
Sophos Naked Security Logo

Die Visual Basic Apps (VBA) mit niederträchtigen Zielen schienen schon ausgestorben zu sein. Der britische Security-Anbieter Sophos hat solche Makroviren seit dem Sommer wieder gehäuft festgestellt. Sie sind erstens leicht zu variieren und lassen sich zweitens mit Social-Engineering-Tricks wieder leichter verbreiten als früher.

Die Security Labs von Sophos melden einen Wiederanstieg bei der nahezu ausgestorbenen VBA-Malware. Im Juli fielen die Schädlinge erstmals wieder verstärkt, wie Gabor Szappanos, Forschungsleiter bei Sophos Labs damals berichtete. Jetzt warnt er, dass die “alte” Programmiersprache wegen ihrer Einfachheit vermehrt mit moderneren Mitteln – etwa Nachladen neuen Schadcodes – genutzt wird. Im Juni waren nur sechs Prozent der Dokumenten-Schädlinge in VBA geschrieben, im Juli waren es schon 28 Prozent, Tendenz steigend.

Sophos Naked Security Logo
Das Sophos-Blog “Naked Security” berichtet darüber, wie Malware-Autoren Security-Software umgehen wollen (Bild: Sophos).

Visual Basic sei deshalb so quicklebendig, weil es leicht zu schreiben und einfach zu verändern sei, berichtet Sophos-Blogger Graham Chantry – und um den Antivirenprogrammen zu entkommen, müsse Schadcode schließlich ständig neu gebaut werden. Nur so können die Digitalfieslinge Erkennungsmuster der Anti-Malware umgehen.

Die Microsoft-Funktion, Makros erst einmal als nicht vertrauenswürdig zu klassifizieren wenn die Quelle nicht freigegeben ist, hat bislang geholfen, entsprechende Malware einzudämmen. Doch neue Social-Engineering-Techniken schaffen es zunehmend, die User dazu zu bewegen, Makros zu aktivieren.

Jetzt entdeckten Spezialisten des Sicherheitsanbieters eine Reihe von VBA-Downloader-Vorlagen mit hilfreichen Kommentaren, wo die Autoren einen bösartigen Link sowie Informationen über Methoden zur Verschleierung des Codes einfügen sollten.

Macros disabled Hoax
Ein Social-Engineering-Trick meldet, Makros seien abgeschaltet – und verleitet wenig erfahrene Nutzer so, sie auch aus nicht vertrauenswürdigen Quellen zuzulassen (Bild: Sophos).

“Der Code hat in der Regel ein einfaches Design. Einige der Templates importieren die Windows API URLDownloadToFile, um eine ausführbare Datei in das temporäre Verzeichnis der User zu laden”, merken die Sophos-Mitarbeiter an. “Ist das geschehen, verwendet der Code einen Befehl, um die Samples als separaten Prozess auszuführen.” Damit ist die Malware aktiv.

So müssen Malware-Autoren nur noch die “Direct-Link-Here”-Zeichenfolge mit einer URL zu der bösartigen, ausführbaren Datei übermitteln und der Downloader sollte fast wie von selbst funktionieren. Einige der Beispiele geben sogar vor, selbst mit Security-Software verschlüsselt worden zu sein und tarnen sich mit Tricks oft so, als seien sie von Sicherheitsfirmen.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen