![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\")
Wichtiger Hinweis f\u00fcr Administratoren und Nutzer von Microsoft Office. Sicherheitsforscher haben eine Malware entdeckt, die aktiv drei Sicherheitsl\u00fccken in Microsoft Office und .NET Framework ausnutzt, um ein Botnetz einzurichten. <\/p>\nWichtiger Hinweis f\u00fcr Administratoren und Nutzer von Microsoft Office. Sicherheitsforscher haben eine Malware entdeckt, die aktiv drei Sicherheitsl\u00fccken in Microsoft Office und .NET Framework ausnutzt, um ein Botnetz einzurichten. <\/p>\n
<\/p>\n
Die Zyklon-Malware ist \u00f6ffentlich zug\u00e4nglich (und seit 2016 bekannt). Die Malware kommt mit einer voll ausgestatteten Backdoor, die Keylogging, Passwort-Harvesting, Herunterladen und Ausf\u00fchren zus\u00e4tzlicher Plugins, Durchf\u00fchrung von Distributed Denial-of-Service (DDoS)-Angriffen sowie Selbst-Aktualisierung und Selbst-Entfernung erm\u00f6glicht. <\/p>\n Die Malware kann mit ihrem Command and Control (C2)-Server \u00fcber das Onion Router (Tor)-Netzwerk kommunizieren, wenn sie dazu konfiguriert ist. Zyklon kann mehrere Plugins von Browsern und E-Mail-Software herunterladen, von denen einige Funktionen wie Crypto-Currency Mining und Passwort-Wiederherstellung beinhalten. Zyklon bietet auch einen sehr effizienten Mechanismus zur \u00dcberwachung der Ausbreitung und der Infektion. Es ist also eine sehr fortschrittliche Malware.<\/p>\n Nach den Beobachtungen von FireEye wird diese j\u00fcngste Welle der Zyklon-Malware haupts\u00e4chlich durch Spam-E-Mails verbreitet wird. Die E-Mail wird in der Regel mit einer angeh\u00e4ngten ZIP-Datei geliefert, die eine b\u00f6sartige DOC-Datei enth\u00e4lt. <\/p>\n Die Malware zielt in der aktuellen Kampagne prim\u00e4r auf folgende Industrie- und Wirtschaftszweige ab \u2013 wobei unklar ist, ob deutschsprachige Institutionen mit im Fokus liegen. <\/p>\n Beim Angriff erh\u00e4lt das Opfer eine Spam-E-Mail mit einem ZIP-Anhang, in dem die infizierte Word DOC-Datei enthalten ist. Dieses Dokument nutzt mindestens drei bekannte Schwachstellen in Microsoft Office zur Infektion des Zielsystems aus. Dann bewirkt ein PowerShell-Script, dass die Malware von einem Server nachgeladen und ausgef\u00fchrt wird.<\/p>\n Die Schwachstellen in Office wurden durch FireEye bereits im September 2017 entdeckt<\/a> und dann in aktiven Malware-Kampagnen beobachtet. Die Zyklon-Malware pr\u00fcft die System auf folgende Sicherheitsl\u00fccken:<\/p>\n Hier gibt es die Empfehlung, die Systeme mit den erforderlichen Updates auszustatten und Anwender im Hinblick auf Dateianh\u00e4nge zu sensibilisieren. (via<\/a>)<\/p>\n \u00c4hnliche Artikel:<\/strong> Wichtiger Hinweis f\u00fcr Administratoren und Nutzer von Microsoft Office. Sicherheitsforscher haben eine Malware entdeckt, die aktiv drei Sicherheitsl\u00fccken in Microsoft Office und .NET Framework ausnutzt, um ein Botnetz einzurichten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,185],"tags":[1018,4312,4328,1782],"class_list":["post-199884","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-update","tag-malware","tag-microsoft-office","tag-sicherheit","tag-sicherheitslucke"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199884","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=199884"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199884\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=199884"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=199884"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=199884"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Information kommt von FireEye, die diese Zyklon-Malware in diesem Blog-Beitrag<\/a> beschreiben. Offenbar l\u00e4uft eine Kampagne, um die Malware zu verbreiten. <\/p>\n
Zyklon-Malware<\/h2>\n
Der Infektionsvector<\/h2>\n
![\"Zyklon-Malvertising\"](\"https:\/\/i.imgur.com\/2ygKOV0.jpg\" "\\"Zyklon-Malvertising\\"")
<\/a> <\/p>\n\n
![\"Zyklon](\"https:\/\/i.imgur.com\/ao0N3yd.jpg\"\/ "\\"Zyklon")
(Zyklon Malware Infektionsweg, Quelle: FireEye)<\/p>\n\n
Word DDE-Schwachstelle wird aktiv ausgenutzt<\/a>
Microsoft Sicherheits-Ratschlag 4053440 zur DDE-L\u00fccke<\/a>
Microsofts (Word) DDE-Patch teilweise wirkungslos?<\/a>
Hacker nutzen Office Formeleditor-Schwachstelle CVE-2017-11882 aus<\/a>
Microsoft Office Formeleditor 3.0 reaktivieren<\/a>
MS Patchday: Kritische Fixes und neue Probleme (Sept. 2017)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"