Neue Trojanerform in BMP-Files

RAT (Remote Access Trojaner) ist eine neue Angriffsform für Cyberkriminelle, die unscheinbare Bilder auf infizierten Webseiten dafür nutzen, Schadcode zu verbreiten. Auch Microsoft Office-Dokumente werden dafür genutzt.

RAT ist eine Technologie, bei der der Schadcode als Macro in einem Bild vom BMP-Format versteckt wird. Dieses kann dann über infizierte Webseiten oder in MS-Office-Dokumenten versteckt verteilt werden, wie Cisco Talos in neuen Studien herausgefunden hat:
"Eine andere Instanz eines Schaddokuments verwendet eine Technik, bei der die Nutzlast, die auf der kompromittierten Website gehostet wird, ein BMP-Bild ist, das eine ZIP-Datei enthält, die ObliqueRAT-Nutzlast enthält", sagte Talos-Forscher Asheer Malhotra. "Die bösartigen Makros sind für die Extraktion der ZIP-Datei und anschließend für die ObliqueRAT-Nutzlast auf dem Endpunkt verantwortlich."

Ziel der Kriminellen ist es, potenzielle Opfer zum Öffnen von Mails mit entsprechenden Dokumenten oder zum Download von Websites zu bringen, die dann über den im Bild verborgenen ObliqueRAT den Schadmechanismus in Gang zu setzen. Das neue ist die perfekte Tarnung des Schadcodes über ein Standard-Bildformat, was die Erkennung durch Virenscanner etc. erschwert.

Da Ransomware (Erpressersoftware: Link zu einem früheren Artikel) gern über diese Technik verteilt wird, ist höchste Vorsicht beim Herunterladen von Bildern im Internet oder dem Öffnen unbekannter Quellen in Mails geboten. Wir empfehlen unseren geschätzten Mitgliedern und Kunden, ihre Handlungsanweisungen an die Mitarbeiter diesbezüglich zu prüfen und in Erinnerung zu rufen.