Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Wenn eine PowerPoint Datei Malware nachlädt - ohne Makros! - Schadsoftware-Erkennung und Abwehr
Security Awareness

Wenn eine PowerPoint Datei Malware nachlädt - ohne Makros!

Kein Klick nötig. Um sich mit Schadsoftware zu infizieren, reicht es in einer Präsentation über einen Link zu fahren. Schuld ist eine PowerPoint Datei.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
Aktualisiert: 16. September 2024 4 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Inhaltsverzeichnis (3 Abschnitte)

Die manipulierte PowerPoint Datei kommt in einer typischen Phishing Mail daher - allerdings ist die Datei keine Excel Datei mit Makros, sondern eine PowerPoint Präsentation ohne Makros. So schnell kann eine Infizierung stattfinden!

Einstiegshürde Phishing Mail: Das größte Hindernis

Es ist nach wie vor eine beliebte Methode um Malware unter die Menschen zu bringen: die Phishing Mail! Je nach dem wie viel Arbeit in die Anfertigung und Personalisierung gesteckt wird, desto erfolgreicher ist sie auch. In dem Fall der schadhaften PowerPoint Datei sieht die Mail eher 0815 aus. Dass jemand die Datei löscht, bevor überhaupt irgendwas passiert, ist also groß. Das seltsame an der Mail ist jedoch das ungewöhnlich, angehängte Format: Es handelt es um eine PowerPoint Datei - also einer Präsentation. ](https://www.bleepstatic.com/images/news/u/986406/Malware/PPSX-spam-email.jpg) “Please see attached purchase” .. Englisch, wenig zielgerichtet und ohne Bezug. Eine typische Phishing Mail (Quelle: bleepingcomputer.com) Doch die Phishing Mail ist nur das Transport Medium. Jeder mit ein bisschen krimineller Energie und einem Ziel weiß welche Ansprache nötig ist, damit der Anhang geöffnet wird. Aus diesem Grund hatte z.B. die GoldenEye Ransomware einen sehr großen Erfolg. Eine als Bewerbung getarnte Ransomware, gesendet an Personalabteilungen, hat schon in der Theorie ein großes Potenzial. Eine .ppsx Datei ist übrigens mit einer .pptx Datei identisch. Erstere wird jedoch direkt im Vollbildmodus gestartet - anstatt im Editiermodus. Lädt man die Datei herunter und startet diese, dann offenbart sich einem folgender Bildschirm: ](https://www.bleepstatic.com/images/news/u/986406/Malware/PPSX-opened-attachment.jpg) “Loading… Please wait” - Hier wird nichts geladen. Außer man fährt mit der Maus über den Link. Dann wird Schadsoftware nachgeladen. (Quelle: Bleepingcomputer) Hinter dem Link steckt eine URL. Nichts weiter außergewöhnlich. Gleichzeitig wird aber auch obfuskierter Code ausgeführt. Der absichtlich unleserlich gestaltete Code soll Interessierten Steine in den Weg legen, die funktionsweise nachvollziehen zu können. ](https://www.bleepstatic.com/images/news/u/986406/Malware/PPSX-obfuscated-executed-command.jpg) So sieht der obfuskierte Code des Links aus. (Quelle: Bleepingcomputer) Die Deobfuskation bringt folgenden Code ans Tageslicht: ](https://www.bleepstatic.com/images/news/u/986406/Malware/PPSX-deobfuscated-executed-command.jpg) Dank der Deobfuskation des Codes kann man nachvollziehen, wie die Malware funktioniert. (Quelle: Bleepingcomputer.com) Schaut man sich den deobfuskierten Code genauer an, sieht man die URL “http://ccn.nl/c.php” von der ein Download angefordert wird. Hier wird anschließend weitere Malware nachgeladen. Um die nachgeladene Malware handelt es sich um eine .exe Datei, welche sich im local tmp Ordner niederlässt und sich später über cmd.exe ausführt.

Office Protected View schützt vor PowerPoint Datei mit Malware.

Sobald die PowerPoint Datei mit dem Protected View gestartet wird, erhält man bei einem solchen schädlichen Link folgende Warnung: ](https://www.bleepstatic.com/images/news/u/986406/Malware/PPSX-after-highlighting-url.jpg) Warnungen können stören - deshalb starten nicht viele den “Protected View” Mode. (Quelle: bleepingcomputer.com) Wer den Protected View in der Vergangenheit also mal ausgeschaltet hat, der sollte über eine Aktivierung nachdenken. Mittlerweile sollten aber auch zahlreiche AntiViren Programme vor der Datei warnen.

Meine Meinung zu einer PowerPoint Datei mit Malware Link - bei dem das hovern genügt.

Gerade bei Malware Entwicklern sieht man den die brutale Reduktion nötiger Interkationen, um die Aktivierung von Malware zu ermöglichen. Im großen Stil wird die Lücke noch nicht ausgenutzt - zu wissen dass es sie gibt schadet jedoch nicht. Bei Schulungen, Veranstaltungen und Präsentationen sollte man deshalb nicht nur auf gefährliche “Excel und Word” Dokumente aufmerksam machen. Eine generelle Skepsis, gegenüber allen Datenformaten, ist angebracht. Da jetzt selbst ein Klick nicht mehr nötig ist, sondern ein überfahren, muss die Skepsis umso höher sein.

Weitere Informationen und Quellen

[1] PowerPoint File Downloads Malware When You Hover a Link, No Macros Required (bleepingcomputer)

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung