Beschädigte Microsoft Office-Dokumente und ZIP-Dateien werden laut Angaben in einer Phishing-Kampagne verwendet, die der Erkennung durch Antivirenprogramme entgeht ANY.RUN. Diese Taktik, die seit mindestens August 2024 angewendet wird, beinhaltet die absichtliche Beschädigung von Dateien, um E-Mail-Sicherheitsmaßnahmen zu umgehen und gleichzeitig die Wiederherstellung schädlicher Inhalte zu erleichtern.
Beschädigte Microsoft Office-Dateien werden für eine neue Phishing-Taktik verwendet
ANY.RUN berichtete, dass beschädigte Dokumente so gestaltet sind, dass sie E-Mail-Filter und Antivirensoftware umgehen und es Phishing-E-Mails ermöglichen, gezielte Benutzer zu erreichen. Im Gegensatz zu herkömmlicher Malware werden diese Dateien aufgrund ihres beschädigten Zustands, der die Scanfunktionen beeinträchtigt, nicht als verdächtig gekennzeichnet. Die Phishing-Kampagne verwendet QR-Codes in Dokumenten, um Benutzer zu betrügerischen Anmeldeseiten für Microsoft-Konten zu führen und legitime Kommunikation über Mitarbeiterboni und -vorteile nachzuahmen.
Von ANY.RUN analysierte Proben dieser Dokumente zeigten, dass auf diese Weise übermittelte Anhänge beim Test mit VirusTotal häufig keine schädlichen Markierungen aufwiesen. Betrüger haben beschädigte Dokumente entwickelt, die speziell darauf ausgelegt sind, Inhaltsfiltern zu entgehen und gleichzeitig genügend Integrität zu bewahren, damit Microsoft Word sie wiederherstellen kann.
Die in dieser Kampagne verwendeten Schaddateien sollen die Wiederherstellungsfunktionen von Microsoft Word und WinRAR ausnutzen. Indem Angreifer die Integrität der Dateien manipulieren, stellen sie sicher, dass die integrierten Wiederherstellungsfunktionen die Dateien lesbar machen, wenn Benutzer diese Dokumente öffnen, und verschleiern so ihre böswillige Absicht. Diese Technik ermöglicht es Angreifern effektiv, herkömmliche Scanmethoden zu umgehen, auf die viele Sicherheitssoftware angewiesen ist.
Untersuchungen haben ergeben, dass es sich hierbei um einen potenziellen Zero-Day-Exploit handelt, was ein ausgefeiltes Verständnis der Softwaremechanismen durch Bedrohungsakteure zeigt. Das Ziel bleibt klar: Benutzer werden dazu verleitet, diese beschädigten Dateien zu öffnen, was zur Aktivierung eingebetteter QR-Codes führt, die sie auf gefälschte Websites weiterleiten, die darauf abzielen, Anmeldeinformationen zu sammeln oder Malware zu verbreiten.
Sicherheitsexperten betonen die Bedeutung der Sensibilisierung der Benutzer angesichts immer komplexerer Phishing-Versuche. Grimes betonte die Notwendigkeit einer Schulung des Sicherheitsbewusstseins in Organisationen, insbesondere wenn rollenspezifische Mitteilungen wie Mitarbeiterprämien als Köder für Phishing-Angriffe dienen. „Sie möchten nicht, dass die echten Betrüger die einzigen sind, die Ihre Kollegen auf diese Weise phishing“, erklärte er.
Zu den aktiven Maßnahmen zur Bekämpfung dieser Bedrohungen gehört die Verbesserung der E-Mail-Filterfunktionen, um Muster der Dateibeschädigung oder verdächtiger Inhalte zu erkennen, die möglicherweise keine herkömmlichen Sicherheitswarnungen auslösen. In den letzten Jahren wurden Strategien wie das Blockieren von Makros in Microsoft Office-Dokumenten implementiert, um Risiken durch ähnliche Methoden der Dateiausnutzung zu mindern. Die kontinuierliche Weiterentwicklung von Phishing-Taktiken, wie beispielsweise das Einbetten bösartiger Links in QR-Codes, erfordert adaptive Strategien von Cybersicherheitsexperten und -organisationen gleichermaßen.
Die zunehmende Verbreitung von QR-Code-Phishing, auch bekannt als „Quishing“, fügt eine weitere Komplikationsebene hinzu, da viele Benutzer sich der Risiken, die mit dem Scannen von Codes verbunden sind, nicht bewusst sind. Cybersicherheitslösungen werden mit verbesserten QR-Code-Erkennungsmaßnahmen ausgestattet, doch die Komplexität der Bedrohungen führt dazu, dass potenzielle Schwachstellen bestehen bleiben.
Hervorgehobener Bildnachweis: Sasun Bughdaryan/Unsplash
