Zloader setzt auf neue Infektionstechnik zur Vermeidung von Entdeckung

Zloader nutzt neue Infektionstechnik um Entdeckung zu entgehen

Malware-Attacken auf unbedarfte Nutzer über Microsoft Office-Dokumente sind mittlerweile nichts Neues mehr. Schädlinge setzen dabei auf unterschiedliche Taktiken um den Schadcode zu verschleiern und so eine Entdeckung zu vermeiden. Eine neue Variante namens Zloader geht dabei besonders raffiniert vor: Durch die Kombination von Word- und Excel-Dokumenten mit Makros wird der eigentliche Schadcode erst später heruntergeladen, ebenso wie Sicherheitsforscher von McAfee herausgefunden haben.



Verbreitung und Verwendung von Zloader


Zloader scheint sich derzeit vor allem in den USA, Kanada, Spanien, Japan und Malaysia zu verbreiten. Die Schadsoftware nutzt Office-Makros um in die Systeme von Opfern einzudringen und Zugangs- und persönliche Daten zu stehlen. Als sogenannte Malware-as-a-Service (MaaS) kann der Schädling im Darknet gemietet werden und ist deshalb ebenfalls für Angreifer ohne tiefgehende technische Kenntnisse zugänglich. Der Ursprung von Zloader reicht bis ins Jahr 2006 zurück. In der Vergangenheit waren bereits Vorgänger wie ZeuS, Zbot, DELoader oder Terdot aktiv.



Infektionsweg von Zloader


Zunächst erhalten Opfer eine Phishing-E-Mail mit einem Microsoft Word-Dokument. Sobald das Dokument geöffnet wird aktiviert der Bearbeitungsmodus die Makros die Zloader herunterladen und installieren. Dabei wird eine VBA-Routine ausgeführt die aus mehreren versteckten Auswahlfeldern einen Downloade-Link zusammenbaut. Anschließend lädt Zloader eine verschlüsselte Exceldatei herunter.



Die VBA-Routine des Word-Dokuments setzt dann wiederum neue XLS-Makros aus Inhalten von einzelnen Excel-Zellen zusammen und legt sie innerhalb der Exceldatei ab. Schließlich modifiziert das Word-Makro die Registry um die Ausführung der XLS-Makros ohne manuelle Bestätigung zu ermöglichen.



Im nächsten Schritt führt die Malware das Makro aus der Exceldatei aus und lädt die zloader.dll herunter die den eigentlichen Schadcode enthält. Die zloader.dll wird dann im Temp-Verzeichnis gespeichert, sodaß sie über die rundll32.exe ausgeführt werden kann. Dadurch ist die Schadsoftware aktiv und kann Zugangsdaten und andere persönliche Daten stehlen.



Analyse von Zloader


Eine detaillierte Analyse von Zloader findet sich im Blogpost von Kiran Raj und Kishan N. Dort sind auch Screenshots der Dokumente und Quellcodeausschnitte zur Malware zu finden.



Schutzmaßnahmen gegen Spam und Phishing


Um sich vor Spam und Phishing zu schützen, sollten Nutzer stets vorsichtig sein und verdächtige E-Mails nicht einfach öffnen. Die 10 häufigsten Phishing-Methoden haben wir in einem eigenen Beitrag zusammengefasst. Es empfiehlt sich auch, eine zuverlässige Antivirensoftware und Firewall zu installieren und regelmäßige Updates durchzuführen um Schwachstellen im System zu schließen.




Zuletzt aktualisiert am Uhr





Kommentare


Anzeige