Bösartige Dokumente sind tot, ein Hoch auf bösartige Dokumente

Nach fast drei Jahrzehnten, in denen die Microsoft Office Makro-Malware zum Infizieren von Computern verwendet wurde und ein Jahrzehnt lang eine der am häufigsten verbreiteten Arten von Malware war, hat Microsoft zu einem potenziell tödlichen Schlag ausgeholt, indem alle Makros aus heruntergeladenen Dateien standardmäßig deaktiviert wurden. Das bedeutet, dass keine Meldung mehr, angeklickt werden kann, um das Makro einfach zu aktivieren. Makros sind vollständig blockiert und erfordern ein massives Eingreifen des Benutzers, um sie wieder zu aktivieren.

Aber wie das Sprichwort sagt „kennt die Natur kein Vakuum“ und Bedrohungsakteure haben Jahre damit verbracht, an ihrem Manuskript für Social Engineering rund um Dokumenten-Malware zu feilen . Hinzu kommt das für den Erfolg in dieser Branche erforderliche unkonventionelle Denken und die Tatsache, dass Cyberkriminelle immer wieder neue Ansätze ausprobieren, um die Erkennung von Malware zu umgehen. Wir erhalten als Waffen eingesetzte OneNote-Dateien, die zur Verbreitung von Qakbot verwendet werden, wahrscheinlich der erste von vielen neuen Ansätzen für Dokumenten-Malware.

So funktionieren QuakNote-Malware-Kampagnen

Die Kampagne mit dem Namen QuakNote stützt sich auf mehrere Techniken, die wir in der Vergangenheit häufig erlebt haben. Erstens die Verwendung der weniger bekannten .one Dateierweiterung, die viele E-Mail- und Malware-Scanner umgehen kann. Dieses Problem wird dadurch verschärft, dass OneNote nicht dasselbe Format wie die meisten anderen Microsoft Office-Dateien verwendet, die in der Regel OLE2- oder OOXML-Kodierung verwenden. Infolgedessen sind einige Scan-Lösungen für Malware möglicherweise nicht einmal in der Lage, die Datei ohne Änderungen überhaupt zu analysieren.

Beim Öffnen des bösartigen OneNote-Dokuments wird der Benutzer aufgefordert, darauf zu klicken, um eine andere Datei zu öffnen — eine gängige Taktik sowohl bei Microsoft Office- als auch bei PDF-Malware. Bei dieser Aktion wird in der Regel entweder ein eingebettetes Skript oder eine eingebettete Datei ausgeführt oder es werden Links ausgeführt, um eine andere Malware herunterzuladen. In diesem Fall wird eine eingebettete HTML-Anwendung (.hta-Datei) ausgeführt, die JavaScript verwendet, um Windows-Shell-Befehle über WshShell auszuführen — eine Praxis, die seit mindestens acht Jahren für mehrere JavaScript-fähige Dateitypen verwendet wird. Diese Skripte laden die nächste Nutzlast herunter, in diesem Fall Qakbot. Interessanterweise verwendet diese Kampagne jedoch curl.exe., die nur mit Windows 10 oder höher geliefert wird.

Qakbot ist ein Bot ― Software, die auf einem infizierten System ausgeführt wird und auf Befehle von einem Command-and-Control-Server wartet, was als Nächstes zu tun ist. Qakbot zielt hauptsächlich in der Regel auf Finanzdaten und Zugangsdaten ab, wurde aber in der Vergangenheit auch für den Einsatz von Ransomware verwendet.

Mit der Änderung, wie Makros gehandhabt werden, ist dies wahrscheinlich einer der ersten von vielen neuartigen bevorstehenden Angriffen, da Angreifer nach Strategien suchen, die auf einer Stufe mit der Ausnutzung von Office-Makros sind. Es ist möglich, dass nicht nur weniger bekannte Dateitypen ausprobiert werden, sondern auch zunehmend PDF-Malware, um diese Lücke zu füllen.