Cybercriminelen hebben een opmerkelijk bestandsformaat ingezet om kwaadaardige macro's onzichtbaar voor virusscanners te maken, zo hebben verschillende onderzoekers ontdekt. Het gebruik van macro's in Office-documenten is inmiddels een geliefde tactiek om malware te verspreiden.

Macro's staan standaard in Office uitgeschakeld, maar als gebruikers die inschakelen kan de macro malware downloaden en installeren. Onlangs ontdekte onderzoeker Bart Blaze een spamcampagne waarbij er een doc-bestand met kwaadaardige macro's was toegevoegd. In werkelijkheid bleek het een Word MHTML-bestand te zijn. Volgens onderzoekers van beveiligingsbedrijf Trustwave slaan de criminelen na het maken van de kwaadaardige macro die als een MHTML-bestand op, om die vervolgens naar .xls of .doc te hernoemen. Daardoor zal het bestand door Microsoft Office worden geopend.

Toen de spamcampagne werd ontdekt bleek dat de meeste virusscanners die niet detecteerden. Volgens de onderzoekers hebben de criminelen de kwaadaardige macro's opzettelijk als MHTML-bestand opgeslagen, om zo virusscanners te omzeilen. Uit een analyse van het MHTML-bestand blijkt dat het deel met de kwaadaardige macro via base64 is gecodeerd. In het geval gebruikers de bijlage openen en de macro uitvoeren wordt er een Trojaans paard geïnstalleerd dat speciaal ontwikkeld is om geld van online bankrekeningen te stelen. Gebruikers krijgen dan ook het advies om Microsoft Office zo te configureren dat alle macro's worden geblokkeerd.