Cybersicherheitsforscher untersuchen eine neue Phishing-Kampagne, die beschädigte Microsoft Office-Dokumente und ZIP-Dateien ausnutzt, um der Erkennung durch E-Mail-Abwehrsysteme und Antivirensoftware zu entgehen. Diese seit mindestens August 2024 aktive Angriffsstrategie ermöglicht es bösartigen E-Mails, Spam-Filter zu umgehen und Benutzer direkt zu erreichen.
Cybersicherheitsexperten entdecken neue Phishing-Taktik mit beschädigten Dateien
Die Kampagne funktioniert durch den Versand von E-Mails mit absichtlich beschädigten Anhängen. Der beschädigte Zustand verhindert, dass diese Dateien effektiv von Sicherheitstools gescannt werden, was es ihnen letztendlich ermöglicht, Antivirenwarnungen zu umgehen. Entsprechend ANY.RUNnutzt die Malware integrierte Wiederherstellungsfunktionen in Programmen wie Microsoft Word und WinRAR und ermöglicht so das Öffnen beschädigter Dateien, ohne dass sofortige Sicherheitswarnungen ausgelöst werden.
Die E-Mails versprechen oft irreführende Vorteile und locken die Empfänger mit Behauptungen im Zusammenhang mit Mitarbeiterprämien und HR-Benachrichtigungen. Die bösartigen Dokumente enthalten QR-Codes, die Opfer auf betrügerische Websites weiterleiten, was zum Diebstahl von Anmeldedaten oder zur Installation von Malware führen kann. Sicherheitsüberprüfungen zeigen, dass beim Hochladen von Anhängen auf Dienste wie VirusTotal in der Regel keine Warnungen vor schädlichen Inhalten generiert werden, was die Erkennungsbemühungen zusätzlich erschwert.
Diese Strategie stellt eine besondere Herausforderung dar, da Dokumente so beschädigt sind, dass automatisierte Sicherheitsscans umgangen werden können, die aber dennoch so zugänglich sind, dass Benutzer sie öffnen können. Der geschickte Einsatz versprochener Mitarbeiterprämien und -leistungen als Köder deckt Schwachstellen bei der Schulung am Arbeitsplatz auf und unterstreicht die Notwendigkeit für Unternehmen, ihre Sicherheitsbewusstseinsprogramme zu verbessern. Solche Schulungen sollten sich mit spezifischen Bedrohungen wie diesen befassen, um den Mitarbeitern zu helfen, diese gut durchdachten Systeme zu erkennen und ihnen nicht zum Opfer zu fallen.
Aufzeichnungen zeigen, dass die bei dieser Phishing-Kampagne verwendete Methodik nicht völlig beispiellos ist. Ähnliche Taktiken sind bei früheren Angriffen aufgetaucht, wobei böswillige Akteure häufig einzigartige Wege fanden, um Malware in scheinbar harmlosen Dateien zu verbergen. Techniken wie in Makros eingebettete Dokumente und polyglotte Dateien verdeutlichen einen breiteren Trend, bei dem Angreifer unorthodoxe Methoden anwenden, um einer Entdeckung zu entgehen.
Die beschädigten Anhänge in dieser Kampagne sind speziell darauf ausgelegt, Sandbox-Umgebungen zu umgehen, die viele Unternehmen für Sicherheitstests einsetzen. Solche Umgebungen sind auf Dateistrukturen angewiesen, die dazu führen können, dass Beschädigungen übersehen werden. Wenn ein Benutzer versucht, das Dokument wiederherzustellen, löst er unabsichtlich das Schadprogramm aus.
Obwohl viele E-Mail-Dienste fortschrittliche Filtertechniken verwenden, zeigt die Kampagne, dass es in diesen Systemen immer noch Lücken gibt. ANY.RUN betont, dass die Dateien zwar funktionieren, ohne als bösartig gekennzeichnet zu werden, Interaktivität bei der Erkennung dieser Art beschädigter Dateien jedoch von entscheidender Bedeutung ist. Sicherheitslösungen haben Schwierigkeiten, QR-Codes effektiv zu handhaben, und oft erhöht die Kombination solcher Taktiken das Risiko für Benutzer.
Da QR-Codes immer beliebter werden, betten viele Angreifer nun Links in diese Codes ein, um ihre böswilligen Absichten noch weiter zu verschleiern.
Hervorgehobener Bildnachweis: Microsoft
Der Beitrag „Diese unschuldig aussehenden Word-Dokumente verbergen ein gefährliches Geheimnis“ erschien zuerst auf TechBriefly.
Source: Diese unschuldig aussehenden Word-Dokumente verbergen ein gefährliches Geheimnis
