Computersicherheitsexperten warnen vor einem gefährlichen und anhaltenden Angriff auf MacOS-Benutzer, indem sie einen Fehler verwenden, der in der CVE-2019-1457-Empfehlung beschrieben ist. Hacking-Gruppen missbrauchen diesen Fehler, um komplexe Infektionen zu planen und auszuführen. Dies wird in letzter Zeit als eine der gefährlicheren dokumentbasierten Exploit-Ketten angesehen.
MacOS-Benutzer über CVE-2019-1457 Komplexe Exploits mit makroinfizierten Dokumenten angegriffen
Makrobasierte Dokumentenangriffe sind einer der beliebtesten Mechanismen, die von Computerkriminellen unter Windows häufig verwendet werden. Obwohl die meisten von ihnen einen relativ einfachen Ansatz verwenden, indem sie eine Nutzlast, die direkt in die Makros von Betrugsdateien heruntergeladen wird, einbetten, Es gibt jetzt eine viel komplexere Methode, die entdeckt wurde.
Das CVE-2019-1457-Advisory zeigt, wie der beliebte Angriffsansatz in den meisten Fällen ausgeführt wird. Dies ist ein Fehler in Microsoft Office-Versionen, der alternativ als bezeichnet wird Umgehung der Microsoft Office Excel-Sicherheitsfunktion — durch Einfügen in die Zieldateien. Es wird bestätigt, dass dies mit der Version funktioniert 2016 und 2019 unter macOS. Die Hacker erstellen Zielbenutzerdaten und fügen die schädlichen Makros in sie ein. Normalerweise werden sie so programmiert, dass sie eine Art Nutzlastträger für eine bestimmte Malware enthalten.
Mithilfe fortschrittlicher Hacker-Taktiken und Makros, die auf diese ausgefeilte Weise erstellt wurden, stellten Analysten fest, dass dies möglich ist das Sandbox-Profil der Office-App missbrauchen Dies setzt die Sicherheit des Programms außer Kraft. Infolgedessen können die Malware-Ersteller eine Datei an einer beliebigen Stelle im Zieldateisystem erstellen. Dadurch können die auf diese Weise erstellten makroinfizierten Dokumente verwendet werden Starten Sie komplexe lokale Malware mit den erforderlichen Schritten, die die Sicherheit des Betriebssystems umgehen. Infolgedessen können die folgenden Aktionen ausgeführt werden, während jede Art von Malware-Nutzlast installiert wird:
- Sicherheitsfunktionen umgehen — Mit den Befehlen, die in den gehosteten Code eingefügt werden können, können die Sicherheitsanwendungen und -dienste umgangen werden, die Teil des Betriebssystems sein können. Dies schließt Antiviren-Clients ein, Firewalls, Intrusion Detection Systeme und Hosts für virtuelle Maschinen.
- Änderungen der Systemkonfiguration — Der Virencode kann das System neu programmieren, was dazu führen kann Änderungen der Windows-Registrierungswerte oder Änderungen an der Systemstartkonfiguration. Bei den Benutzern treten Leistungsprobleme auf, wenn bestimmte Funktionen ausgeführt werden, Datenverlust oder sogar das Entfernen sensibler Benutzerdateien. In vielen Fällen kann die übertragene Nutzlast so konfiguriert werden, dass sie beim Einschalten des Computers automatisch gestartet wird. Möglicherweise wird auch der Zugriff auf bestimmte Wiederherstellungsoptionen verweigert.
- Dateiänderungen — In vielen Fällen können die Hacker über diese Dokumente das zugrunde liegende Office-Programm programmieren, um neue Dateien zu erstellen oder den Inhalt vorhandener zu bearbeiten.
Mit diesem Ansatz können viele der Viren in allen gängigen Kategorien übertragen werden. Besonders gefährlich sind die Infektionen mit Trojanischen Pferden die verwendet werden, um die Kontrolle über die Hosts zu übernehmen. Mehr und mehr macOS Ransomware werden auch mit dieser Methode gepusht. Hierbei handelt es sich um Dateiverschlüsselungsviren, mit denen Benutzerdateien verarbeitet und die Opfer für eine Kryptowährungszahlung erpresst werden sollen.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: