Phishing-Kampagne nutzt Recovery Feature von Microsoft Word
Doch nun nutzen Cyberkriminelle diese hilfreiche Funktion für ihre Phishing-Kampagne aus, wie Sicherheitsforscher von Any.Run berichten. Dazu versendeten die Angreifer absichtlich beschädigte Dateien, die angeblich aus der Lohnbuchhaltung oder der Personalabteilung stammen und sich mit Bonuszahlungen oder anderen Zusatzleistungen für Mitarbeitende befassen.
Die in dieser Kampagne verschickten Dokumente enthalten alle die base64-kodierte Zeichenfolge „IyNURVhUTlVNUkFORE9NNDUjIw“, die zu „##TEXTNUMRANDOM45##“ entschlüsselt wird. Beim Öffnen der Anhänge erkennt Word, dass die Datei beschädigt ist, meldet, dass es „unlesbaren Inhalt“ in der Datei gefunden hat, und fragt das Opfer, ob es diesen wiederherstellen möchte.
Das Perfide daran: Die Phishing-Dokumente sind so beschädigt, dass sie leicht wiederhergestellt werden können, aber von Sicherheitssoftware nicht erkannt werden. Im Dokument wird die Zielperson auffordert, einen QR-Code zu scannen, um ein weiteres Dokument abzurufen. Für zusätzliche Glaubwürdigkeit wird das Dokument mit dem Unternehmens-Logo des Opfers versehen. Durch das Scannen des QR-Codes wird der Benutzer allerdings auf eine Phishing-Website geleitet. Mit einer als Microsoft-Login getarnten Seite versuchen die Betrüger, die Anmeldedaten des Benutzers zu stehlen.
Der Einsatz von vorsätzlich beschädigten Word-Dokumenten ist ein neuer Trend im Vorgehen der Cyberkriminellen. Besonders gefährlich daran ist, dass aktuelle Sicherheitslösungen den schädlichen Inhalt der Dokumente meist nicht aufspüren können. So luden die Sicherheitsforscher beispielsweise entdeckte Dokumente bei VirusTotal hoch und nahezu alle Antivirenlösungen gaben grünes Licht oder konnten die Datei überhaupt nicht analysieren. Laut der Sicherheitsforscher könnte das auch daran liegen, dass keine Malware oder anderer schädlicher Code zum Dokument hinzugefügt wurde, sondern lediglich ein QR-Code.
Schutz vor derartigen Angriffen bieten die üblichen Regeln zum Umgang mit Phishing. Zum Beispiel sollten niemals Anhänge aus den E-Mails unbekannter Absender geöffnet werden. Darüber hinaus sollten keine persönlichen Daten auf Webseiten eingegeben werden, die man über Hyperlinks in E-Mails erreicht.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com ist das einzige in der DACH-Region, das ISO 27001-zertifiziert ist auf Basis von BSI IT-Grundschutz.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de