Malware besmet volledig gepatchte Windows-systemen via Excel-macro’s

Microsoft waarschuwt voor een malware die gebruik maakt van Office-functies om Windows-systemen in gevaar te brengen. De malware maakt geen misbruik van een bug in de software, maar gebruikt schadelijke macrofuncties in een Excel-bijlage om volledig gepatchte Windows-pc’s in gevaar te brengen.

Volgens het Security Intelligence-team van Microsoft zit een groep genaamd TA505 achter de aanvallen, aldus ZDNet. De groep maakt vaak gebruik van Microsoft-bijlagen en social engineering om de systemen van slachtoffers te compromitteren. De aanval begint met een e-mail en .xls-bijlage (Excel). Microsoft waarschuwt geadresseerden deze dan ook niet te openen.

“Bij openen voert het .xls-bestand automatisch een macrofunctie uit die msiexec.exe uitvoert, dat op zijn beurt een MSI-archief downloadt. Het MSI-archief bevat een digitaal ondertekend uitvoerbaar bestand dat wordt uitgepakt en uitgevoerd en dat een ander uitvoerbaar bestand in het geheugen ontsleutelt en uitvoert”, aldus Microsoft. 

FlawedAmmyy

Volgens het Security Intelligence-team van Microsoft maakt de malware gebruik van een complexe infectieketen om de beruchte remote-access trojan (RAT) FlawedAmmyy rechtstreeks in het geheugen te downloaden en uit te voeren. FlawedAmmyy wordt veelal gebruikt om bedrijven in de financiële sector en de detailhandel aan te vallen. 

De techniek achter de malware om het in het geheugen te laten draaien, zorgt ervoor dat deze niet wordt gedetecteerd door een antivirus. Dit programma scant normaal alleen bestanden op de harde schijf. Het schadelijke uitvoerbare bestand downloadt en decodeert vervolgens een bestand met de naam wsus.exe, speciaal ontworpen om te worden doorgegeven als de officiële Microsoft Windows Service Update Service (WSUS). Het uitvoerbare bestand is op 19 juni digitaal ondertekend. Het ontsleutelt de payload in het RAM, waardoor de FlawedAmmyy-payload wordt geleverd.

Eerder deze maand waarschuwde Microsoft al dat aanvallers spam aan het afvuren waren om een bug in Office uit te buiten en zo een trojan te installeren. Hierdoor hadden de aanvallers geen tussenkomst van gebruikers nodig om macro’s in te schakelen.

Korea

De van Koreaanse taal en tekens voorziene bijlage doet vermoeden dat de aanval zich met name richt op Koreaans sprekende Windows-gebruikers. Inmiddels heeft Microsoft geïnvesteerd in zijn beveiligingsinfrastructuur om zijn eigen ingebouwde antivirus te verbeteren. De softwarereus stelt dan ook dat gebruikers van Microsoft Threat Protection tegen deze aanval beschermd zijn.

Bovendien blokkeerden de machine-learningsystemen van Defender ATP alle componenten van deze aanval, inclusief de FlawedAmmyy RAT-payload.  Zakelijke gebruikers van Office 365 ATP mogen ervan uitgaan dat de Office 365-beveiligingstools de spam detecteren.