Die amerikanische Security-Firma Fortinet beschreibt in ihrem Blog einen neuen VBA-Makrovirus, der sowohl Windows-, als auch Macintosh-Rechner infiziert. Er wird übertragen durch eine Word-Datei im DOC-Format. Sobald der Anwender das File öffnet, erscheint zwar zunächst eine Sicherheitswarnung – eingebettete Makros sind in der Voreinstellung von Word deaktiviert. Doch wenn Anwender diese Warnung ignorieren und die Ausführung des Makros durch einen Klick auf einen Button erlauben, kann die Malware mit ihrer Arbeit beginnen.
In einem ersten Schritt liest sie einen mit Base64 verschlüsselten Code aus, der im Kommentar der Word-Datei zu finden ist. Nach der Dekodierung verwandelt er sich in ein Python-Skript. Anschließend teilen sich die Wege, je nachdem, ob der Code unter Windows oder macOS ausgeführt wird.
In Windows ruft das Skript über die Eingabeaufforderung (cmd.exe) eine versteckte Instanz der Windows-Powershell auf, die nun ein wiederum mit Base64 kodiertes, zweites Skript ausführt. Es lädt ein weiteres kodiertes Powershell-Skript, das ein 64-Bit-Binary dekodiert – die Malware funktioniert damit nur auf 64-Bit-Systemen. Das Skript weist ihm Arbeitsspeicher zu und startet das Programm. Es lädt daraufhin eine DLL aus dem Internet, die anschließend mit ihrem Server zu kommunizieren beginnt. Was genau dabei vorgeht, wird von Fortinet noch analysiert.
Python statt Powershell
Auf einem Mac tut sich die Malware leichter, denn dort ist Python vorinstalliert. Das im vorherigen Absatz erwähnte Skript kann daher direkt eine Datei aus dem Internet laden und sie ausführen. Es handelt sich dabei um eine leicht modifizierte Version eines Meterpreter-Files für Python, das unter anderem eine eindeutige Identifikation des Clients ermöglicht. Dieses neue Skript versucht nun ebenfalls, eine Verbindung zu einem Internet-Server herzustellen, der allerdings zum Zeitpunkt der Analyse von Fortinet nicht antwortete. Der Prozess bleibt jedoch aktiv und versucht weiterhin, den Server zu erreichen.
Welche Absichten der Makrovirus verfolgt, bleibt daher im Dunkeln. Es handelt sich jedoch unzweifelhaft um ein bösartiges Programm. Interessant ist vor allem, dass die Malware in der Lage ist, auf die Betriebssystem-Umgebung zu reagieren und sowohl Windows wie auch Mac zu befallen.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.