Hacker nutzen Dropbox und Google Docs zur Verbreitung von Orcinius-Malware

Eine neue Variante des Orcinius-Trojaners wurde entdeckt, die mithilfe von VBA-Stomping ihre Infektion verschleiert. Der mehrstufige Trojaner nutzt Dropbox und Google Docs, um sich zu aktualisieren und zweite Nutzlasten zu liefern.

Was ist VBA-Stomping?

Typischerweise entfernt VBA-Stomping den VBA-Quellcode in einem Microsoft Office-Dokument, sodass nur eine kompilierte Form des Makro-Codes, bekannt als P-Code, im Dokument verbleibt. „Die Malware enthält ein verschleiertes VBA-Makro, das sich in Windows einklinkt, um laufende Fenster und Tastatureingaben zu überwachen, und erstellt Persistenz mithilfe von Registrierungsschlüsseln“, teilte das SonicWall Capture Labs Threat Research Team mit.

Wie wird der Angriff ausgeführt?

Die Infektion beginnt mit einer Excel-Tabelle, in diesem Fall „CALENDARIO AZZORTI.xls“. Diese Tabelle sieht aus wie ein italienischer Kalender und enthält drei Arbeitsblätter, die Abrechnungszyklen verschiedener Städte beschreiben. Das Dokument enthält ein VBA-Makro, das mittels „VBA-Stomping“ modifiziert wurde, wodurch der ursprüngliche Quellcode zerstört und nur kompilierter P-Code hinterlassen wird.

Beim Öffnen und Schließen der Datei wird das Makro zur Laufzeit gestartet und führt folgende Aktionen aus:

• Überprüfen und Erstellen eines neuen Registrierungsschlüssels, um Warnungen zu verbergen.
• Auflisten aller derzeit geöffneten Fenster.
• Einrichten von Persistenz.
• Zugriff auf verschlüsselte URLs und Versuch des Downloads.
• Überwachen der Tastatureingaben.
• Erstellen mehrerer zufälliger Timer für Download- und Aktivierungsversuche.

URLs:

• www-env.dropbox-dns[.]com
• hxxps://docs.google[.]com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download
• hxxps://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1

Zusammenhang mit anderer Malware

Laut Forschern stehen die Muster und genannten URLs in Verbindung mit Remcos, AgentTesla, Neshta, HTMLDropper und anderen bösartigen Websites, die sich als „Synaptics.exe“ ausgeben und auf VirusTotal verfügbar sind. Die Seiten an beiden Standorten waren zur Laufzeit nicht erreichbar.

Risiken und Auswirkungen

Durch den Anstieg schädlicher Cyberaktivitäten besteht ein hohes Risiko von Fehlinterpretationen, Eskalationen und weitreichenden Auswirkungen. Es ist wichtig, wachsam zu bleiben und Sicherheitsvorkehrungen zu treffen, um sich vor solchen Bedrohungen zu schützen.