Nieuwe macro-malware voor Word infecteert macOS en Windows

Er is een andere vorm van Microsoft Word-malware gedetecteerd die zowel macOS- als Windows-machines infecteert.

De kwaadaardige VBA-code (Visual Basic for Applications) is begraven in een Word-documentmacro en past zijn aanval automatisch aan, afhankelijk van het gebruikte besturingssysteem. Eenmaal geïnstalleerd, kan het worden gebruikt om meer payload-bestanden naar uw computer te downloaden.

Macro-malware is niets nieuws; het richt zich al meer dan tien jaar op Windows-gebruikers. Hoewel het aantal macro-aanvallen daalde toen meer geavanceerde infecties werden ontwikkeld, is er de laatste jaren een heropleving om één belangrijke reden.

Omdat de aanval is vermomd als een onschuldige Word-macro, blijft deze onopgemerkt totdat het te laat is. Als je je computer hebt verteld om macro's automatisch te openen, kan kwaadaardige code worden uitgevoerd voordat je enig idee hebt dat het er is.

De eerste macro-malware die voor Mac is ontworpen, is ontdekt terug in februari, en nu is er een tweede stam gedetecteerd door FortiGuard-labs.

Het maakt gebruik van begraven VBA-code die gegevens decodeert en leest (een Python-script) uit het gedeelte "Opmerkingen" dat is ingesloten in het Word-bestand. Omdat macOS is gebouwd met Python ingeschakeld, mag het script worden uitgevoerd via de functie ExecuteForOSX.

Wanneer dit script wordt uitgevoerd, downloadt het een bestand van een URL en voert het automatisch uit. Het is niet helemaal duidelijk wat de malware doet als deze eenmaal met succes op uw computer is geïnstalleerd, maar FortiGuard denkt dat het wordt gebruikt "door de aanvallers voor het volgen van campagnes".

De hele aanval is gebaseerd op Metasploit, een open-source framework dat legitieme applicaties heeft, maar vaak wordt aangepast om malware en andere kwaadaardige tools te creëren.

Het is gemakkelijk om dit soort malware te vermijden. Zorg er eerst voor dat uw systeem macro's niet automatisch mag openen en zorg er vervolgens voor dat de Word-documenten die u gebruikt afkomstig zijn van vertrouwde bronnen. Open niet zomaar willekeurige Word-bestanden die u van dubieuze websites hebt gedownload.

Via: AppleInsider