Onderzoekers hebben nieuwe macro-malware ontdekt die de computer pas infecteert als het document wordt gesloten, om zo detectiesystemen te omzeilen. Ook kijkt de malware naar de aanwezigheid van bepaalde sandboxes, zoals Sandboxie en de Anubis sandbox. Macro's laten gebruikers verschillende taken automatiseren en werden jaren terug op grote schaal door malware gebruikt. Vanwege de veiligheidsrisico's besloot Microsoft daarom om macro's standaard in Office te blokkeren.
Een jaar geleden verschenen er steeds meer .doc- en .xls-documenten waarin macro's zaten verstopt. In de documenten werden gebruikers opgeroepen om macro's in te schakelen. Zodra de gebruiker de macro inschakelt wordt erin de achtergrond bijvoorbeeld malware gedownload en geïnstalleerd. Althans, dat is het verwachte gedrag.
Een nieuwe variant van de Dridex-malware downloadt de malware pas als de gebruiker het document sluit. Volgens beveiligingsbedrijf Proofpoint hopen de malwaremakers hiermee virusscanners en detectiesystemen te omzeilen die bij het openen van documenten op het laden van malware controleren. Om dit soort gedrag tegen te gaan hebben beveiligingsbedrijven hun detectiesystemen en sandboxes aangepast om langer op eventuele kwaadaardige activiteiten te "wachten".
"De mogelijkheid van de kwaadaardige macro om zich uit te voeren als het document wordt gesloten vergroot het infectievenster en dwingt een detectiesandbox om langer te monitoren en mogelijk de infectie te missen. Hoe lang de sandbox ook wacht, de infectie zal niet plaatsvinden, en als de sandbox wordt gesloten of stopt zonder het document te sluiten, wordt de infectie in z'n geheel gemist", aldus de onderzoekers van Proofpoint.
Ook beveiligingsbedrijf PhishMe waarschuwt voor een variant van Dridex die zich via macro's verspreidt. Deze variant kijkt specifiek naar de aanwezigheid van bepaalde sandboxes, zoals Sandboxie en de Anubis sandbox. In het geval deze sandboxes worden gedetecteerd zal de computer niet worden besmet. Is de aanval wel succesvol, dan downloadt de macro de Dridex banking Trojan op de computer. Deze malware is speciaal ontwikkeld om geld van online bankrekeningen te stelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.