Makro als Einfallstor

Ransomware qkg hat es auf Word-Nutzer abgesehen

von - 23.11.2017
Ransomware
Foto: Jozsef Bagota / shutterstock.com
Sicherheitsforscher haben eine neue Ransomware-Familie entdeckt, die es auf Microsoft-Word-Nutzer abgesehen hat. Der Schädling verschlüsselt geöffnete Dokumente und verseucht neu erstellte Office-Dateien.
Die Sicherheitsforscher von Trend Micro haben eine neue Ransomware-Familie entdeckt. Der Verschlüsselungstrojaner RANSOM_CRYPTOQKG.A (kurz qkg) hat es demnach auf Anwender von Microsoft Word abgesehen.
Die Infektion erfolgt über Makros in Word-Dokumenten. Dazu muss ein Opfer das verseuchte Dokument öffnen und das Ausführen von Makros erlauben. Anders als bei den meisten Ransomware-Attacken muss das schädliche Skript nicht erst heruntergeladen werden, vielmehr ist es direkt in das Dokument integriert. Zunächst merkt der Nutzer nicht, dass er angegriffen wurde. Der Schädling wird erst aktiv, wenn das manipulierte Dokument wieder geschlossen wird.
Danach setzt der Schadcode die Sicherheitseinstellungen von Word zurück. Office-Anwendungen lassen dann zum Beispiel die Ausführung von Makros automatisch zu. Ferner modifiziert die Ransomware das Template "normal.dot". Erstellt der Nutzer nun über dieses Template ein neues Dokument, ist der Verschlüsselungstrojaner automatisch integriert. Aktiv wird dieser aber ebenfalls erst nachdem das Dokument geschlossen wurde. Dann bekommt das Opfer eine Nachricht mit einer E-Mail- sowie einer Bitcoin-Adresse und den verschlüsselten Inhalten angezeigt. Die Forscher haben allerdings auch entdeckt, dass der Verschlüsselungskey bei allen Dokumenten identisch ist und dieser zudem in jedem Dokument direkt enthalten ist..
Der Schadcode verschlüsselt laut Trend Micro allerdings nicht sämtliche auf dem Rechner befindlichen Dateien, sondern nur aktive, also geöffnete Dokumente.

qkg ist noch experimentell

Laut den Sicherheitsexperten handelt es sich bei qkg derzeit noch um eine Art experimentelles Projekt beziehungsweise ein Proof of Concept. Das mache den Schädling aber nicht weniger gefährlich. Vielmehr liefert es einen kleinen Eindruck davon, was Nutzer in Zukunft erwarten könnte. Entdeckt wurde die Schadsoftware auf VirusTotal. Dort sei es Trend Micro zufolge aus Vietnam hochgeladen worden.
Verwandte Themen