Beheer

Security

Macro-malware maakt comeback

8 januari 2015
Microsoft waarschuwt voor de wederopstanding van een methode van malware-distributie die uit de mode was geraakt: vergiftigde macro's in Word- en Excel-documenten.

Macro's - kleine programmaatjes in Visual Basic om routines in Office-bestanden te automatiseren - waren een veelgebruikt mechanisme om computers te besmetten totdat Microsoft ertoe overging macro's uit onbekende bron in principe niet te openen. Wie een Office-bestand met zo'n macro van onbekende herkomst ontvangt, moet sinds 2001 bevestigen dat men dat wil voordat de macro wordt uitgevoerd. Dat maakte deze methode van malwaredistributie een stuk minder aantrekkelijk.

Microsofts Malware Protection Center meldt echter een nieuwe golf van dit type malware te zien. Het noemt daarbij Adnel en Tarbir als voorbeelden. Wat deze en andere methoden van malwaredistributie via macro's van hun voorgangers onderscheidt, is dat ze een stuk slimmer in elkaar zitten. De bestanden worden verspreid via mailtjes met in het onderwerpveld een verwijzing naar een betalingsopdracht danwel een probleem daarmee, een rekening, een bestellingsoverzicht en dergelijke. Daaraan gekoppeld zit dan een bijlage met echt lijkende namen.

Social engineering

Daarmee is de eerste stap richting het laten openen van de besmette bijlage gezet. De ontvanger die die bijlage opent, krijgt vervolgens een slim aangeklede aansporing om de uitvoering van de macro toe te staan. Dat kan bijvoorbeeld in de vorm van de melding: Pas op! Dit document is gemaakt met een nieuwere versie van Microsoft Office. Macro's dienen toegestaan te worden om de inhoud van het document zichtbaar te maken. Met daarbij een button die men kan aanklikken om zogenaamd de macro's in te schakelen. Het meegeleverde document is niet zelden ook echt leeg, zodat de ontvanger die het bestand opent de indruk krijgt dat-ie echt de macro's moet inschakelen. Wanneer daar toestemming voor wordt gegeven, krijgt men echter geen document te zien, maar downloadt men malware op zijn pc of laptop.

Microsoft adviseert daarom nog maar eens om uiterst voorzichtig te zijn met het toestaan van het uitvoeren van macro's in bestanden van onbekende bron of zonder ondertekening; ongetekende macro's zijn in de regel malware. Bovendien zullen ontvangstbevestigingen, rekeningoverzichten en dergelijke eigenlijk nooit een macro bevatten, en is het bij dat type toegezonden bestanden dus op voorhand verdacht als gevraagd wordt uitvoering van macro's toe te staan, waarschuwt Microsoft.

Vooralsnog zijn vooral zijn klanten in Amerika en Engeland doelwit van de nieuwe golf macro-malware, maar er is geen enkele reden om te veronderstellen dat de wederopstanding ervan tot die landen beperkt blijft.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.