Die SophosLabs, allen voran Gabor Szappanos, vermelden das Revival eines alten Malware-Bekannten mit dem Kürzel „VBA“. Visual Basic for Applications war in den späten 90er Jahren sehr beliebt bei Cyberkriminellen und scheint nun eine Renaissance zu erleben. Im Jahr 2014 ist die Programmiersprache wohl am besten unter dem Arbeitstitel „Das Tool für Excel-Gurus, mit dem sie ihre höllisch komplizierten Makros schreiben“ bekannt.
VBA-Viren nisteten sich damals heimlich in Office-Dokumenten ein und übernahmen Applikationsfunktionen wie „AutoOpen“ in Word. Diese Dateien taten genau das, was der Name suggeriert: Wenn der Nutzer ein infiziertes Dokument öffnete, übernahm die Malware die Kontrolle und nistete sich in den Office-Template-Dateien ein. Vor dort aus war es ein leichtes, Office als Ganzes zu kapern und Kopien der Malware selbst in alle zukünftig bearbeiteten Dokumente zu platzieren. Nach der Sturm-und-Drang-Zeit um die Jahrtausendwende wurde Makro-Malware allerdings aufgrund der immer besseren Sicherheitsfunktionen der Microsoft-Office-Lösungen nahezu ausgelöscht. Aber wie es so oft mit erfolgreichen Dingen aus der Vergangenheit ist, der spezielle Virus scheint zurück zu kehren.
Die SophosLabs haben in den letzten Monaten eine starke Zunahme infizierter Word- und Excel-Dokumente festgestellt. Allerdings unter anderen Vorzeichen: Die neu gesichteten Angriffe nutzen Office-Lücken nicht mehr, um sich automatisch vervielfältigende Viren zu installieren, sondern zum Download von Trojaner-Codes. Ironischerweise verweisen die Kriminellen in ihren Malware-Dokumenten oft auf eine vermeintlich, zusätzliche Sicherheit, um die infizierten Makros schmackhaft zu machen. Die kleinen Helferlein sollen Dokumente angeblich vor allzu neugierigen Augen schützen bis der Nutzer für sich ist, und die Makros aktivieren kann, um den geheimen Inhalt zu zeigen. In anderen Fällen sind Inhalte zum Beispiel als „vertraulich“ markiert und der Nutzer wird dazu angehalten, Makros zu aktivieren, um die Inhalte lesen zu können. Die Techniken scheinen zu funktionieren. Mehr als die Hälfte aller von den SophosLabs untersuchten, auf Office-Dokumenten beruhenden Angriffen enthalten VBA-Makros, die den Nutzer austricksen sollen. Wenn es also darum geht, eine größtmöglich Menge an Nutzern zu attackieren, verfehlt das gute alte Social Engineering fast nie seine Wirkung. Dabei ist ein effektiver Schutz, abgesehen von einem aktuellen Antivirus-Programm, denkbar einfach: Es gibt keinerlei Grund dafür, dass der Inhalt eines Dokuments nur dann richtig angezeigt werden kann, wenn Makros aktiviert sind. Wenn sie also solch eine Meldung bekommen, werden sie höchstwahrscheinlich gerade gehackt werden…
Wer sich näher mit der Materie auseinandersetzen will, kann den ausführlichen, englischen Originalartikel von Gabor Szappanos hier lesen. Dort können auch Screenshots von Beispielattacken heruntergeladen werden.
Antwort hinterlassen