VBAs sind doch nicht ausgestorben

Die schon quasi ausgestorbene Malwareform Visual Basic Code (VBA) wird laut den SophosLabs seit einigen Monaten wieder vermehrt gesichtet. Neue Statistiken zeigen nun einen sprunghaften Anstieg. [...]

Gabor Szappanos, Forschungsleiter bei SophosLabs, beobachtet seit einigen Monaten das jähe Auftauchen der fast schon vergessenen Makrovirenart Visual Basic Code. Neueste Beobachtungen des IT-Sicherheitsspezialisten Sophos zeigen einen Anstieg von Makro-basierender Malware von bescheidenen 6 Prozent aller Dokumentenmalware im Juni auf bemerkenswerte 28 Prozent im Juli. Warum ist das so?
 
Gegenüber der Nutzung bekannterer Exploits, so erklärt Graham Chantry, Senior Threat Researcher bei SophosLabs UK auf Naked Security, hat VBA einige nennenswerte Vorteile.
 
VBA VS. EXPLOITS
Nur wenige Nutzer verzichten dieser Tage völlig auf Antiviren-Lösungen, Virenfamilien müssen sich also so häufig wie möglich verändern, um die Aufmerksamkeit des AV-Schutzes zu umgehen. Eine Exploit-Dateistruktur ist in der Regel eher statisch, was eine Bearbeitung schwierig macht.
 
Visual Basic-Code hingegen ist einfach zu schreiben, flexibel und leicht umzugestalten. Ähnliche Funktionalitäten können auf viele verschiedene Arten dargestellt werden. Malware-Autoren haben so mehr Möglichkeiten, bessere Versionen ihrer Software zu produzieren, als sie es über Exploits könnten. Diese sind zudem an bestimmte Versionen von Microsoft Office, gebunden. Die Malware-Autoren müssen also hoffen, dass die Opfer eine angreifbare Office-Version nutzen und ihr Antivirenschutz veraltet ist. Wird eine dieser Bedingungen nicht erfüllt, scheitert der Angriff.
 
Nicht so bei VBA. Der große Nachteil bei der Verwendung liegt allerdings in Microsofts Makro Security Level-Funktion. Bei Microsoft Office 2007 und höher sind alle Makros aus nicht vertrauenswürdigen Quellen standardmäßig deaktiviert und ihr Code wird nur ausgeführt, wenn der Benutzer sie explizit aktiviert. Um diese Einschränkung zu umgehen, müssen Autoren von bösartigem Code VBA Social Engineering-Techniken verwenden, um die User zur Ausführung der Makros zu bewegen.
 
TEMPLATES FÜR DUMMIES

Spezialisten der SophosLabs haben entdeckt, dass es eine Reihe von VBA-Downloader-Vorlagen gibt. Diese enthalten Visual Basic-Code mit hilfreichen Kommentaren, wo die Autoren einen bösartigen Link sowie Informationen über Methoden zur Verschleierung des Codes einfügen sollten.
 
Der Code hat in der Regel ein einfaches Design. Einige der Templates importieren die Windows API URLDownloadToFile um eine ausführbare Datei in das Temporäre Verzeichnis der User zu laden. Ist das geschehen, verwendet der Code einen Befehl um die Samples als separaten Prozess auszuführen.
 
Angehende Malware-Autoren müssen nur noch die Direct-Link-Here-Zeichenfolge mit einer URI zu der bösartigen, ausführbaren Datei übermitteln und der Downloader sollte fast wie von selbst funktionieren.
 
Diese Codestruktur ist äußerst beliebt. Tatsächlich wiesen zirka 34 Prozent aller Samples von Makro-Downloadern im Juli diese Struktur auf und waren mit Hunderten von verschiedenen URIs übersät, was darauf hindeutet, dass dies eine weit verbreitete und recht beliebte Vorlage ist.
 
SORGFÄLTIGER BETRUG
SophosLabs stieß vor kurzem auf eine Reihe Samples, die behaupten, mit „SOPHOS-Verschlüsselungs-Software“ verschlüsselt worden zu sein. Zwar verfügt auch Sophos über eine Verschlüsselungssoftware – SafeGuard Encryption verschlüsselt Windows und Mac OS Endpoints – aber die Schreibweise war nicht identisch mit dem Original. Der Visual Basic Code in dem gefälschten Sophos Sample war durchaus anspruchsvoll. Abhängig von der Tatsache, ob PowerShell auf dem Computer installiert ist, konnte das Sample zwei unterschiedliche Methoden zur Infektion nutzen.
 
Ausgestorben ist VBA also ganz sicher nicht. (pi)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*