Mimecast-Experten entdeckten die Aktivität der Malware LimeRAT, die das alte Kennwort für XLS-Dateien verwendet und Backdoors auf infizierten Computern installieren, Dateien wie normale Ransomware verschlüsseln, Computer zu Botnetzen hinzufügen und Cryptocurrency Miner auf diesen installieren kann.
Außerdem kann sich dieser modulare Trojaner über angeschlossene USB-Laufwerke ausbreiten, sich selbst löschen, wenn eine virtuelle Maschine erkannt wird, den Bildschirm sperren und verschiedene Daten stehlen, die dann an den Kontrollserver des Angreifers übertragen werden – die Überlebensfähigkeiten dieser Malware ähneln den Eigenschaften von Xiny Trojan, der auf Android läuft.Das interessanteste an dieser Kampagne war die Art und Weise, wie LimeRAT verteilt wurde. Die Malware wird durch Phishing-E-Mails mit angehängten Excel-Dokumenten verbreitet, die schreibgeschützt, aber nicht blockiert sind“, sagen Mimecast-Forscher.
Angreifer erinnerten sich an die alte Sicherheitslücke in solchen Dateien. Tatsache ist, dass 2013 bekannt wurde, dass beim Festlegen des VelvetSweatshop-Passworts Excel-Dateien verschlüsselt werden, diese dann jedoch in Excel geöffnet werden, ohne ein Passwort einzugeben. Dies ist ideal für Angreifer, da Excel standardmäßig das VelvetSweatshop-Kennwort für alle verschlüsselten Dateien überprüft.
Ich möchte Sie daran erinnern, dass bereits damals angenommen wurde, dass dieses Kennwort von Microsoft-Programmierern als Scherz eingeführt wurde, und dass sie nicht davon ausgegangen sind, dass sie es finden würden. Es ist davon auszugehen, dass dieses Passwort die Arbeitsbedingungen bei Microsoft kennzeichnet.
Nun erinnerte sich „VelvetSweatshop“ an die Autoren von LimeRAT. Wenn die Entschlüsselung mit dem Standardkennwort fehlschlägt, wird der Benutzer in der Regel aufgefordert, das Kennwort für die Datei einzugeben. Der schreibgeschützte Modus ermöglicht es jedoch, diese Einschränkung zu umgehen, wodurch die Anzahl der Schritte verringert wird, die erforderlich sind, um einen Computer zu gefährden.
Für Cyberkriminelle besteht der Vorteil des schreibgeschützten Modus in Excel darin, dass keine Benutzereingaben erforderlich sind und Microsoft Office keine Warndialoge generiert, außer dass die Datei schreibgeschützt ist“, erklären sie die Forscher.
Es ist erwähnenswert, dass Sophos-Experten früher festgestellt haben, dass diese Sicherheitsanfälligkeit auch nach vielen Jahren weiterhin genutzt wird und ein wirklich interessanter Fall ist.