IT-Sicherheitsforscher von Cluster25 haben eine präparierte PowerPoint-Präsentation entdeckt, welche Schadcode einschleusen und ausführen könne. Zur Auslösung sei lediglich eine Mausbewegung nötig. Besonders sei zudem, dass die Infektionsmethode, die auch als Fancy Bear bekannt sei, keine bösartigen Makros benötige.

Der Code werde ausgeführt, wenn Opfer die Präsentation starten und die Maus bewegen und führe letztlich zum Herunterladen einer Variante der Malware-Familie Graphite. Letztere verwende die Microsoft-Graph-API und OneDrive für die Kommunikation mit den Command-and-Control-Servern. Durch Verankern in der Registry soll die Malware persistiert werden. Die Malware missbrauche den Microsoft-Graph-Cloud-Dienst zur Installation weiterer Schadsoftware. Durch Abruf eines OAuth-Tokens mit einer festen Client-ID sichern sich die Angreifer darüber hinaus ihren Zugang.

Die Graphite-Malware frage schließlich die Microsoft Graph-API nach neuen Befehlen ab und durchsuche dabei die Dateien in einem OneDrive-Unterordner. Wird eine neue Datei gefunden, so werde diese heruntergeladen, entschlüsselt und der empfangene Shellcode in einem eigenen Thread gestartet. Laut eines Berichts von Cluster25 trat die Malware am 25. August und 09. September diesen Jahres in Erscheinung.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE