Erpressungstrojaner qkG manipuliert Word-Template zur weiteren Verbreitung

Sicherheitsforscher sind auf eine neue Ransomware gestoßen, die es vorrangig auf Word-Nutzer abgesehen hat.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Erpressungstrojaner qkG manipuliert Word-Template zur weiteren Verbreitung

(Bild: Computer Lockdwon, Blue Coat PhotosCC BY 2.0)

Lesezeit: 2 Min.

Der Verschlüsselungstrojaner qkG (RANSOM_CRYPTOQKG.A) setzt auf einen neuen Ansatz, um sich zu verbreiten. Dafür macht er sich über das Template für ein neues Dokument von Microsoft Word her und manipuliert es. Künftig haben alle neu erzeugten Word-Dokumente die Ransomware an Bord, erläutern Sicherheitsforscher von Trend Micro.

Die Erpresser setzen offensichtlich auf das Schneeballsystem, um ihren Schädling zu verbreiten. Derzeit soll sich qkG aber noch in der Entwicklung befinden und Trend Micro zufolge nicht in freier Wildbahn unterwegs sein. Außerdem soll der Trojaner derzeit nur Word-Dateien verschlüsseln und der Schlüssel zum decodieren ist wohl noch fest eingebaut.

Wie viele Erpressungstrojaner infiziert qkG Computer über Word-Dokumente mit Makros. Dafür muss ein Opfer das Dokument öffnen und das Ausführen von Makros erlauben. Doch das Skript in den Makros lädt den Schädling, wie von anderen Ransomware-Kampagnen gewohnt, nicht erst herunter, sondern bringt ihn gleich mit.

Mit dem eigentlichen Schadenswerk soll qkG erst loslegen, wenn das Opfer das Dokument schließt. Dafür nutzt der Schädling die onClose-Funktion von Word. Anschließend setzt er Sicherheitseinstellungen von Word zurück und sorgt so unter anderem dafür, dass die Office-Anwendung Makros standardmäßig automatisch ausführt. Dann schießt er seinen Schadcode in Form von Makros in das Word-Template normal.dot für Standard-Dokumente, führen die Sicherheitsforscher aus.

Erzeugt ein Opfer über das manipulierte Template ein neues Dokument und verschickt etwa einen Lebenslauf, bekommt der Empfänger den Schädling gleich mit serviert und das Spiel beginnt von vorne.

Lesen Sie dazu auch:

(des)