2251494

Gezielter Mac-Angriff per Word-Makro

08.02.2017 | 16:55 Uhr |

Eine neue Malware attackierte nur Mac-Anwender. Verwendet wurde dabei ein Word-Dokument, das die Malware per Makro installiert.

An alte Zeiten erinnert wohl so manchen Macwelt-Leser die neueste bekannt gewordene Mac-Malware: Es handelt sich nämlich um ein als Dateianhang verbreitetes Word-Dokument mit Makro, das eine Schadsoftware installiert – übrigens nur auf Macs. Die Gefahr schätzen wir als relativ hoch ein: Vor dem Öffnen des Dokuments mit dem Titel „U.S. Allies and Rivals Digest Trump’s Victory - Carnegie Endowment for International“ fragt Word den Empfänger, ob er das Makro ausführen soll – was man natürlich verneinen sollte. Gerade aber bei einem Mac-Anwender besteht die Gefahr, dass er das Makro ohne Nachdenken ausführt. Startet das Makro, prüft es vor dem Ausführen, ob auf dem Mac die Sicherheitssoftware „Little Snitch“ läuft. Wenn nicht, installiert es eine Hintergrundanwendung. Dabei handelt es sich um das eigentlich legitime Python-Tool empyre, das von IT-Experten für Sicherheitsanalysen verwendet wird. Man kann es  aber auch gut zu illegalen Zwecken verwenden. Die Malware kann auf verschiedene Art im Hintergrund aktiv bleiben und ferngesteuert Befehle ausführen. Erst in einem zweiten Schritt sollte das Tool dann von einem russischen Server die eigentliche Malware laden, vermutlich Spyware. Was genau das Tool installieren sollte, ist nicht bekannt, da der betreffende Server zum Zeitpunkt der Analyse nicht mehr erreichbar war. Möglich wäre ein Tool für die Erstellung von Screenshots oder ein Keylogger. Schaden kann die Malware also aktuell keinen mehr anrichten.

Die Datei wird aktuell noch von relativ wenigen Virenscannern erkannt.
Vergrößern Die Datei wird aktuell noch von relativ wenigen Virenscannern erkannt.

Tools wie Little Snitch und BlockBlock entdecken das Tool bei der Kontaktaufnahme, auch viele Mac-Virenscanner stufen das Dokument mittlerweile als Malware ein. Apples Sicherheitsfunktion Gatekeeper ist dagegen kein Schutz, da der Nutzer das Ausführen von Makros ja ausdrücklich genehmigt. Experten wie Patrick Wardle gehen davon aus, dass es sich um eine eher ungezielte Aktion krimineller Hacker handelte. Eventuell ist die Attacke auch schon etwas älter, so wurde die Word-Datei anscheinend am 14. Dezember erstellt (von einem Nutzer namens john john).

Unsere Meinung : Ein Angriff per Word-Makro ist eigentlich wenig gefährlich. Bei einem Word-Dokument unbekannter Herkunft sollte man immer Schadcode vermuten und das Dokument nicht öffnen. Es ist aber doch überraschend, dass hier gezielt Mac-Anwender angegriffen wurden.

0 Kommentare zu diesem Artikel

Macwelt Marktplatz

2251494