Internet

Phishing-Kampagne nutzt Recovery Feature von Microsoft Word

Die meisten Computer-Nutzer kennen das Szenario: Man arbeitet mehrere Stunden an einem Dokument und dann hängt sich das Programm oder gleich der ganze Rechner auf. Nichts geht mehr und man kann nur hoffen, dass die Arbeit der letzten Stunden nicht umsonst war. In dieser Situation ist das Recovery Feature von Microsoft Word sehr praktisch. Öffnet man das Programm, fragt ein Pop-up, ob man die zuletzt genutzte Datei wiederherstellen möchte. So hat man im schlimmsten Fall nur die letzten Änderungen verloren, nicht aber das gesamte Dokument.

Doch nun nutzen Cyberkriminelle diese hilfreiche Funktion für ihre Phishing-Kampagne aus, wie Sicherheitsforscher von Any.Run berichten. Dazu versendeten die Angreifer absichtlich beschädigte Dateien, die angeblich aus der Lohnbuchhaltung oder der Personalabteilung stammen und sich mit Bonuszahlungen oder anderen Zusatzleistungen für Mitarbeitende befassen.

Die in dieser Kampagne verschickten Dokumente enthalten alle die base64-kodierte Zeichenfolge „IyNURVhUTlVNUkFORE9NNDUjIw“, die zu „##TEXTNUMRANDOM45##“ entschlüsselt wird. Beim Öffnen der Anhänge erkennt Word, dass die Datei beschädigt ist, meldet, dass es „unlesbaren Inhalt“ in der Datei gefunden hat, und fragt das Opfer, ob es diesen wiederherstellen möchte.

Das Perfide daran: Die Phishing-Dokumente sind so beschädigt, dass sie leicht wiederhergestellt werden können, aber von Sicherheitssoftware nicht erkannt werden. Im Dokument wird die Zielperson auffordert, einen QR-Code zu scannen, um ein weiteres Dokument abzurufen. Für zusätzliche Glaubwürdigkeit wird das Dokument mit dem Unternehmens-Logo des Opfers versehen. Durch das Scannen des QR-Codes wird der Benutzer allerdings auf eine Phishing-Website geleitet. Mit einer als Microsoft-Login getarnten Seite versuchen die Betrüger, die Anmeldedaten des Benutzers zu stehlen.

Der Einsatz von vorsätzlich beschädigten Word-Dokumenten ist ein neuer Trend im Vorgehen der Cyberkriminellen. Besonders gefährlich daran ist, dass aktuelle Sicherheitslösungen den schädlichen Inhalt der Dokumente meist nicht aufspüren können. So luden die Sicherheitsforscher beispielsweise entdeckte Dokumente bei VirusTotal hoch und nahezu alle Antivirenlösungen gaben grünes Licht oder konnten die Datei überhaupt nicht analysieren. Laut der Sicherheitsforscher könnte das auch daran liegen, dass keine Malware oder anderer schädlicher Code zum Dokument hinzugefügt wurde, sondern lediglich ein QR-Code.

Schutz vor derartigen Angriffen bieten die üblichen Regeln zum Umgang mit Phishing. Zum Beispiel sollten niemals Anhänge aus den E-Mails unbekannter Absender geöffnet werden. Darüber hinaus sollten keine persönlichen Daten auf Webseiten eingegeben werden, die man über Hyperlinks in E-Mails erreicht.

Über die 8com GmbH & Co. KG

Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.

8com gehört zu den führenden Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Das Security Operations Center von 8com ist das einzige in der DACH-Region, das ISO 27001-zertifiziert ist auf Basis von BSI IT-Grundschutz.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Julia Olmscheid
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel