Zloader nutzt neue Infektionstechnik um Entdeckung zu entgehen

Zloader kombiniert ein Word und ein Excel Dokument mit Makros, bei dem der eigentliche Schadcode erst nachträglich heruntergeladen wird.

Trojaner, Schadsoftware, Zloader
Bildquelle: AndreyPopov

Malware nutzt immer wieder gerne Microsoft Office-Dokumente, um unbedarfte Nutzer zu infizieren. Neben Social Engineering werden verschiedenste Taktiken zur Verschleierung bzw. Obfuscation der Schadsoftware verwendet. Laut McAfee kombiniert Zloader dazu ein Word und Excel Dokument mit Makros, bei dem der eigentliche Schadcode erst nachträglich heruntergeladen wird.

Die angesprochene Variante scheint sich primär in den USA, Kanada, Spanien, Japan und Malaysia zu verbreiten. Zloader ist bekannt dafür über Office-Markos in die Systeme der Opfer einzusteigen. Dort bedient er sich dann den Zugangsdaten und den persönlichen Daten der Opfer. Die Schadsoftware kann als Malware-as-a-Service (MaaS) im Darknet mit den gewünschten Funktionen angemietet werden. Darum ist beim Angreifer kaum technisches Wissen notwendig. Der Ursprung der Malware reicht bis in das Jahr 2006 zurück. Davor hießen seine Vorgänger ZeuS, Zbot, DELoader oder Terdot.

Infektionsweg von Zloader

Zunächst einmal versendet der Angreifer Phishingmails mit einem Microsoft Word Dokument. Öffnet das Opfer das Dokument, aktiviert den Bearbeitungsmodus und die Makros kann Zloader sein Werk verrichten. Das Makro führt anschließend die erste VBA-Routine aus, welche aus mehreren versteckten Auswahlfeldern einen Downloadlink zusammensetzt. Schließlich lädt Zloader eine verschlüsselte Exceldatei herunter.

Das VBA-Makro der Worddatei baut dann wiederum neue XLS-Makros aus Inhalten von einzelnen Excel-Zellen zusammen und legt sie innerhalb der Exceldatei ab. Anschließend modifiziert das Word-Makro die Registry, damit bei der Ausführung der XLS-Makro keine manuelle Bestätigung mehr notwendig ist.

Im nächsten Schritt führt die Malware das Makro aus der Exceldatei aus und lädt die zloader.dll herunter, welche den eigentlichen Schadcode enthält. Daraufhin wird die zloader.dll im Temp Verzeichnis gespeichert, sodass sie über die rundll32.exe ausgeführt werden kann. Somit ist die Schadsoftware nun aktiv und kann beliebige Zugangsdaten oder andere persönliche Daten stehlen.

Im Blogpost von Kiran Raj und Kishan N. zu Zloader sind neben einer detaillierten Analyse auch zusätzlich noch ein paar Screenshots der Dokumente und Quellcodeausschnitte zur Malware zu finden.

Lesen Sie auch

Spam und Phishing

Jeder kennt sie, die Spam-Mails vom Nigerianischen Prinzen, der dringend  ein ausländisches Konto benötigt, um Geld in Sicherheit zu bringen. Oder auch die klassischen Phishingmails der vermeintlichen Bank, bei denen schnellstmöglich wichtige Dokumente oder eine Sicherheitsverifizierung angefordert werden. Details zu den verschiedenen Varianten findest du in unserem Post über die 10 häufigsten Phishing-Methoden.

Tarnkappe.info

Honeybee schreibt seit Ende 2020 für die Tarnkappe. Der Einstieg war ein Reverse Engineering Artikel über die Toniebox. Die Biene liebt es Technik aller Art in ihre Bestandteile zu zerlegen. Schraubendreher und Lötkolben liegen immer in Reichweite. Themen wie Softwareentwicklung, Reverse Engineering, IT-Security und Hacking sind heiß geliebt.