Einfache Mausbewegungen in einer PowerPoint-Präsentation können bereits schadhaften Code ausführen, wie russische Hacker beweisen.
Eine Gruppe von russischen Hackern setzt eine neue Technik ein, um durch einfache Mausbewegungen in einer PowerPoint-Präsentation schadhaften Code auf den Systemen ihrer Opfer auszuführen. Die dabei zum Einsatz kommende Malware ist bereits seit Januar bekannt.
Hackergruppe APT28 verteilt eine bösartige PowerPoint-Präsentation
Sicherheitsforscher des Threat Intelligence-Unternehmens Cluster25 berichten von neuen Aktivitäten der Hackergruppe APT28, auch bekannt als „Fancy Bear„, der Verbindungen zum russischen Geheimdienst nachgesagt werden.
Die Angreifer verteilen demnach eine Malware mit dem Namen „Graphite„, indem sie ihren Opfern eine PowerPoint-Präsentation zukommen lassen, die angeblich mit der OECD (Organization for Economic Co-operation and Development) in Verbindung steht. Darin enthalten sind zwei Folien mit Anweisungen für die Dolmetscherfunktion in der Videokonferenzsoftware Zoom, jeweils auf Englisch und Französisch.
Eine falsche Mausbewegung in PowerPoint aktiviert ein bösartiges Skript
Ein Hyperlink in der PowerPoint-Datei dient als Auslöser für die Ausführung eines PowerShell-Skripts. Und dafür ist nicht mal ein Klick erforderlich. Denn während der laufenden Präsentation reicht es bereits aus, lediglich mit der Maus über den Hyperlink zu fahren, um das Skript zu aktivieren, woraufhin dieses eine JPEG-Datei von einem Microsoft OneDrive-Konto herunterlädt.
Doch auch diese Datei ist natürlich mehr als nur ein harmloses Bild. Darin versteckt sich eine verschlüsselte DLL-Datei, die das Skript entschlüsselt und später über die rundll32.exe ausführt. Infolgedessen startet der Download einer zweiten JPEG-Datei, die schließlich die Graphite-Malware in verschlüsselter Form enthält.
Nachdem die Malware entschlüsselt ist, erfolgt die Ausführung. Graphite kommuniziert daraufhin unter Ausnutzung der Microsoft Graph API und OneDrive mit einem Command-and-Control-Server (C2). PowerPoint spielt an dieser Stelle längst keine Rolle mehr.
Wie die Forscher von Cluster25 berichten, „ermöglicht die Malware die Ausführung von Remote-Befehlen, indem sie einen neuen Speicherbereich zuweist und den empfangenen Shellcode durch Aufruf eines neuen dedizierten Threads ausführt.“ Dadurch ist Graphite in der Lage, unter Kontrolle der Angreifer weiteren schadhaften Code abzurufen und auszuführen.
Trellix-Forscher berichteten bereits über Graphite
Bereits im Januar hatten Sicherheitsforscher von Trellix über Graphite berichtet. Statt PowerPoint nahmen die Angreifer damals jedoch noch Excel ins Visier.
Ihren Namen erhielt die Schadsoftware aufgrund ihrer Verwendung der Microsoft Graph API für die Kommunikation mit dem C2. Infolge einiger Überschneidungen von Codesequenzen mit vormals analysierter Malware aus dem Jahr 2018 schrieben die Forscher Graphite damals der Hackergruppe APT28 zu.