Heimliche OpenDocument-Malware gegen lateinamerikanische Hotels eingesetzt

Ende Juni 2022 isolierte HP Wolf Security eine ungewöhnlich heimliche Malware-Kampagne, die OpenDocument-Textdateien (.odt) zur Verbreitung von Malware verwendete. OpenDocument ist ein offenes, herstellerneutrales Dateiformat, das mit mehreren beliebten Office-Produktivitätssuiten kompatibel ist, darunter Microsoft Office, LibreOffice und Apache OpenOffice. Wie in einem Blogbeitrag von Cisco Talos beschrieben, zielt die Kampagne auf die Hotellerie in Lateinamerika ab. Die betroffenen Hotels werden per E-Mail mit gefälschten Buchungsanfragen kontaktiert. Im nachstehenden Fall handelte es sich bei dem beigefügten Dokument angeblich um ein Gastregistrierungsdokument.

Abbildung 1 – E-Mail-Köder, der eine Buchungsanfrage stellt.

Infektionskette

Das schädliche Dokument wurde als E-Mail-Anhang gesendet. Wenn der Benutzer das Dokument öffnet, wird er gefragt, ob Felder mit Verweisen auf andere Dateien aktualisiert werden sollen. Wenn sie bei dieser kryptischen Nachricht auf „Ja“ klicken, öffnet sich eine Excel-Datei.

Abbildung 2 – OpenDocument-Datei mit der Aufforderung, Felder im Dokument zu aktualisieren.

Danach wird dem Benutzer eine weitere Abfrage angezeigt, ob Makros aktiviert oder deaktiviert werden sollen. Wenn der Benutzer Makros zulässt, löst dies die Infektionskette aus, die schließlich zur Ausführung der Malware-Payload AsyncRAT führt.

Abbildung 3 – Excel-Tabelle, die den Benutzer auffordert, Makros zu aktivieren.

Es ist interessant zu sehen, dass OpenDocument-Dateien zur Verbreitung von Malware verwendet werden, da wir selten Malware in freier Wildbahn sehen, die dieses Dateiformat verwendet. Auffallend ist, dass das in der Kampagne verwendete Dokument von Antivirenscannern schlecht erkannt wird, mit einer Erkennungsrate von 0 % bei VirusTotal (Stand: 7. Juli).

Abbildung 4 – OpenDocument VirusTotal-Erkennung.

Im Gegensatz zu vielen bösartigen Dokumenten zeigt die Analyse der OpenDocument-Datei keine versteckten Makros. Das Dokument verweist jedoch auf OLE-Objekte (Object Linking and Embedding), die remote gehostet werden, wie in gezeigt styles.xml Filet. Das Dokument verweist auf 20 Dokumente, die auf derselben Domain, webnar, gehostet werden[.]die Info.

Abbildung 5 – OpenDocument verweist auf ein externes Dokument.

Beim Öffnen des Dokuments werden diese Verweise heruntergeladen und geöffnet. Basierend auf unserer Analyse wird immer dasselbe Dokument heruntergeladen und enthält keinen Makrocode. Das heruntergeladene Dokument enthält jedoch zehn eingebettete Excel-Tabellen. Wenn der Benutzer Makros an der Eingabeaufforderung in Abbildung 3 aktiviert, öffnet sich jede dieser Excel-Dateien und fragt den Benutzer, ob Makros aktiviert werden sollen. Es ist unklar, welchem ​​Zweck das Öffnen so vieler doppelter Dateien dient.

Abbildung 6 – Extern referenziertes Word-Dokument enthält 10 Excel-Dateien.

Das Visual Basic for Applications (VBA)-Makro in den Excel-Dokumenten ist schlank und führt einen Befehl mit dem in Windows integrierten Tool mshta.exe (T1218.005) aus, das zusätzlichen Code aus dem Internet herunterlädt und ausführt.

Abbildung 7 – VBA-Makrocode im Excel-Dokument.

An diesem Punkt wird eine komplexe Kette von PowerShell-, VBScript- und Batch-Skripten gestartet, die schließlich AsyncRAT, einen in C# geschriebenen Open-Source-Trojaner für den Fernzugriff, dekodiert und ausführt. Eine geplante Aufgabe wird erstellt, um die Malware auf dem infizierten PC persistent zu machen. Die Aufgabe startet die Malware alle zwei Stunden neu. Der wesentliche Teil dieser Infektionskette besteht darin, wie der Angreifer der Erkennung entging, indem er sich auf das OpenDocument-Format verließ, um Malware mithilfe externer OLE-Objekte zu laden.

Abbildung 8 – Komplexe Infektionskette, die zu AsyncRAT führt.

Links zu anderen Kampagnenaktivitäten

Um zu sehen, ob derselbe Köder in anderen Kampagnen verwendet wurde, haben wir die Bilder in dem bösartigen Dokument mit einem Korpus historischer Bilder bösartiger Dokumente aus den letzten drei Jahren verglichen.

Abbildung 9 – Kampagne mit demselben Köderbild.

Im Juli wurde ein weiteres bösartiges Dokument in freier Wildbahn entdeckt, das das Logo einer legitimen Organisation enthielt, das vom Angreifer nachgeahmt wurde. Der Hauptunterschied zwischen den beiden Kampagnen besteht darin, dass die zweite auf Microsoft Word-Dokumente statt auf OpenDocument-Dateien setzte. Interessanterweise ist die Erkennungsrate des schädlichen Microsoft Word-Dokuments weitaus höher als die der OpenDocument-Datei.

Abbildung 10 – Erkennungsrate von Microsoft Word-Dokumenten auf VirusTotal.

Beide Kampagnen nutzten denselben Köder und zielten per E-Mail auf lateinamerikanische Hotels ab. Wir haben Hinweise auf ähnliche Aktivitäten gefunden, die seit mehreren Monaten auf der Grundlage der Zielorganisationen und Ködersprachen (Portugiesisch und Spanisch) andauern.

Fazit

Angreifer suchen immer nach heimlichen Möglichkeiten, Malware zu verbreiten, die die Endgerätesicherheit umgeht. Diese Kampagne veranschaulicht, wie OpenDocument-Textdateien missbraucht werden können, um Malware über externe OLE-Referenzen mit extrem niedrigen Erkennungsraten zu verbreiten. Dokumente, die von außerhalb einer Organisation eingehen, sollten immer mit Misstrauen behandelt werden, insbesondere wenn sie versuchen, externe Inhalte aus dem Internet zu laden – in der Praxis ist dies jedoch nicht immer einfach zu befolgen, insbesondere in Branchen, die auf den Austausch elektronischer Dokumente zwischen Lieferanten angewiesen sind und Kunden. Da HP Wolf Security jedoch risikoreiche Aufgaben wie das Öffnen von E-Mail-Anhängen in sicheren mikrovirtuellen Maschinen isoliert, die nicht auf Erkennung angewiesen sind, hat dies die Malware in dieser Kampagne daran gehindert, das Hostsystem zu infizieren.

Indikator für Kompromisse

OpenDocument-Dateien:
Relação de Hospedes HPLUS.odt (Englische Übersetzung: “Gästeliste HPLUS.odt”):
74d8bc5023f8d56e5b9fb46a5da5f1ce7e3e04826ca543274d7f6205866490b9
CNPJ – HPLUS SISTEMA DE ENSINO LTDA.odt
b13ce271e58dff54bccf92dbccc17414af168efc2d47d44554a883ca0b2e8e08

Microsoft Word-Dokument
85007a9921ef08cae11e27944fcf0a1897c78dd9f26b6801f17b3b2f80d8f794

Extern referenziertes Word-Dokument:
598ee4b45b38e5d3485e0d6da9e4369c91c5e9981d869ab4745e4df1f9ac14b2

Eingebettete Excel-Dateien:
2c783d33c0f86fd266efab7dc2f135e83de49472914fc4646f94f590104c0dfa
b88fcd15369df470634ec02ee42392ac948520b4c55b7a7b2c5f979c94cd43d5
6a9c9855bdef4e811610f78385c2deca1f898610de1827f55b92458d157a1788
d46schlecht7b5f3bf546f70ea1e5caddd1974b06d1befa26f6bca54c98c1431e5276
559eb36bf8ebcb34156972e3eb77bc2c103c9320ef09f31d945532deed73fb87
46503673cf5a603f12cf01d7a6ef232a2bad791201e17d0b449e5e094c63bca3
35e16501438467a0649210473d2527310575a302471778989568b1ef40766b46
1d266e5c8036b48136d9585040c6f85cb61a8b8693997cc0e9ed88e55e1157ea
c402e4b0fa8c7742d6ad086160a71d5d2b0e23d6531dd739076cc10922da5076
db76cf9623b1f2b1750d75fa2502af7e4f1f6050000bbcedef6379e9d5cb9408

Domains, die Malware-Phasen hosten:
webnar[.]die Info
www.unimed-corporate[.]com

Author: admin

Leave a Reply

Your email address will not be published.