Cyberkriminelle nutzen eine kürzlich gemeldete kritische Adobe Flash Player-Schwachstelle in einer massiven Spam-Kampagne, die auf Computer abzielt, welche nicht ausreichend geschützt sind. Laut der Forschungsfirma Morphisec schicken Cyberkriminelle Spam-Mails aus, in denen Empfänger aufgefordert werden, auf einen Link zum Herunterladen eines Word-Dokuments zu klicken.
Sobald die Empfänger das Dokument öffnen und das Makro aktivieren, versucht die Malware einen Adobe Flash Player-Fehler (CVE-2018-4878) auszunutzen, der Anfang dieses Monats von Adobe gepatcht wurde. Opfer, die auf den Trick hereinfallen, haben die Kontrolle über ihre Systeme jenem Angreifer überlassen. Adobe stufte den Fehler als kritisch ein und beschrieb ihn als eine use-after-free Schwachstelle, die sich auf den Adobe Flash Player auswirkt, welcher auf Windows 10, Mac OS, Linux und Chrome OS Systemen läuft.
Der Fehler wurde ursprünglich vom südkoreanischen Computer Emergency Response Team am 31. Januar gefunden und als Flash SWF-Datei in Microsoft Word- und Excel-Dokumenten eingebettet identifiziert. Michael Gorelik, Chief Technology Officer und Vice President für Forschung und Entwicklung bei Morphisec, sagte, dass die Opfer im Rahmen der jüngsten Spam-Kampagne E-Mails mit kurzen Links zu den bösartigen Word-Dokumenten zum Download erhalten hätten. Er fügte hinzu, dass die bösartigen Anhänge in der Lage waren, den AV-Schutz größtenteils zu umgehen, was eine niedrige Erkennungsrate bei VirusTotal ergab.
"Nach dem Herunterladen und Öffnen des Word-Dokuments nutzt der Angriff die Flash-Schwachstelle 2018-4878 und öffnet eine Eingabeaufforderung, die später remote mit einem bösartigen Shellcode infiziert wird, wodurch dieser eine Verbindung zu einer bösartigen (C2) Domäne herstellt", schrieb Gorelik in einem technische Beschreibung der Angriffe. "Im nächsten Schritt lädt der Shellcode eine 'm.db' DLL von derselben Domain herunter, die mit dem Prozess regsvr32 ausgeführt wird, um Whitelisting-Lösungen umgehen zu können."
Ein regsvr32-Prozess (Microsoft Register Server) ist ein Befehlszeilendienstprogramm, das Teil des Windows-Betriebssystems ist und zum Registrieren und Aufheben der Registrierung von DLLs und ActiveX-Steuerelementen im Kontext der Windows-Registrierung verwendet wird.
Die von Morphisec verfolgte Kampagne war "nur ein paar Stunden lang" und zielte auf Posteingänge in den USA und Europa. "Die Dokumente wurden aus der safe-storge [.] Biz-Domain heruntergeladen und gingen mit einem Erkennungsverhältnis von 1/67 fast völlig unerkannt verloren", so Gorelik.
Ein Adobe-Sprecher sagte, wenn er zur Spam-Kampagne kommentiert werden sollte: "Die meisten Exploits zielen auf Software-Installationen ab, die mit den neuesten Sicherheitsupdates nicht auf dem neuesten Stand sind. Wir empfehlen Benutzern immer dringend, Sicherheitsupdates zu installieren, sobald sie verfügbar sind. "
Mit Blick auf die Zukunft sagte Gorelik, dass er erwartet, dass CVE-2018-4878 in den kommenden Jahren weitere Kopfschmerzen verursachen wird.
"Adobe hat Anfang Februar einen Patch veröffentlicht, aber einige Unternehmen werden Wochen, Monate oder sogar Jahre brauchen, um den Patch einzuführen, und Cyberkriminelle entwickeln in dieser Zeit immer neue Wege, um die Schwachstelle auszunutzen", sagte er.