Erpressungstrojaner qkG manipuliert Word-Template zur weiteren Verbreitung

Der Verschlüsselungstrojaner qkG (RANSOM_CRYPTOQKG.A) setzt auf einen neuen Ansatz, um sich zu verbreiten. Dafür macht er sich über das Template für ein neues Dokument von Microsoft Word her und manipuliert es. Künftig haben alle neu erzeugten Word-Dokumente die Ransomware an Bord, erläutern Sicherheitsforscher von Trend Micro. 

Die Erpresser setzen offensichtlich auf das Schneeballsystem, um ihren Schädling zu verbreiten. Derzeit soll sich qkG aber noch in der Entwicklung befinden und Trend Micro zufolge nicht in freier Wildbahn unterwegs sein. Außerdem soll der Trojaner derzeit nur Word-Dateien verschlüsseln und der Schlüssel zum decodieren ist wohl noch fest eingebaut.

Schädlingsanalyse

Wie viele Erpressungstrojaner infiziert qkG Computer über Word-Dokumente mit Makros. Dafür muss ein Opfer das Dokument öffnen und das Ausführen von Makros erlauben. Doch das Skript in den Makros lädt den Schädling, wie von anderen Ransomware-Kampagnen gewohnt, nicht erst herunter, sondern bringt ihn gleich mit.

Mit dem eigentlichen Schadenswerk soll qkG erst loslegen, wenn das Opfer das Dokument schließt. Dafür nutzt der Schädling die onClose-Funktion von Word. Anschließend setzt er Sicherheitseinstellungen von Word zurück und sorgt so unter anderem dafür, dass die Office-Anwendung Makros standardmäßig automatisch ausführt. Dann schießt er seinen Schadcode in Form von Makros in das Word-Template normal.dot für Standard-Dokumente, führen die Sicherheitsforscher aus.

Trojanisierte Dokumente

Erzeugt ein Opfer über das manipulierte Template ein neues Dokument und verschickt etwa einen Lebenslauf, bekommt der Empfänger den Schädling gleich mit serviert und das Spiel beginnt von vorne.

Wer schreibt hier?

Als IT-Dienstleister und Systemhaus realisieren wir Netzwerk-, Hardware-, Software- und Cloud-Lösungen für kleine und mittlere Unternehmen. Sie wollen mehr erfahren? Dann lassen Sie sich unverbindlich beraten. Übrigens: Die Inanspruchnahme unserer Beratungsdienstleistungen im Bereich IT-Sicherheit kann im Rahmen des Förderprogramms „go-digital“ subventioniert werden.

Schlagwörter

Kategorien

Hier gehts direkt zum Support:

Oder Kontaktieren Sie uns hier: