Das Erwachen der LNK-Dateien
HP Wolf Security Report zeigt, mit welchen neuen Techniken und Phishing-Ködern Mitarbeiter getäuscht werden.
Laut der aktuellen Ausgabe des HP Wolf Security Threat Insights Report setzen Cyber-Kriminelle, die Malware-Familien wie QakBot, IceID, Emotet und RedLine Stealer für ihre Angriffe nutzen, vermehrt auf Verknüpfungs-Dateien. Mit den LNK-Dateien verbreiten sie ihre Schadprogramme. Bisher wurden hauptsächlich Office-Makros als Einfallstor für Malware ins Unternehmensnetzwerk genutzt. Diese werden mittlerweile allerdings standardmäßig von Office blockiert.
Verknüpfungsdateien versteckt in ZIP-E-Mail-Anhängen
Die mit Malware infizierten Archivdateien, darunter auch LNK-Dateien, sind um elf Prozent angestiegen. Um E-Mail-Scanner zu umgehen, platzieren Angreifer die Verknüpfungsdateien in ZIP-E-Mail-Anhängen. Hacker-Foren bieten dazu LNK-Malware-Baukästen an: Cyber-Kriminelle sind damit in der Lage, schädliche Verknüpfungsdaten zu erstellen und damit Organisationen ins Visier zu nehmen – somit wird den Angreifern ein unkomplizierter Wechsel auf eine „makro-freie“ Code-Ausführungstechnik ermöglicht.
„Das Öffnen einer Verknüpfung oder einer HTML-Datei mag für einen Mitarbeiter harmlos erscheinen, kann aber ein großes Risiko für die Organisation darstellen“, erklärt Alex Holland, Senior Malware Analyst, HP Wolf Security Threat Research Team. „Wir empfehlen, Verknüpfungsdateien, die als E-Mail-Anhänge empfangen oder aus dem Internet heruntergeladen werden, wenn möglich sofort zu blockieren.“Vermehrter HTML-Schmuggel zur Verbreitung von Malware
HP hat weiterhin mehrere Phishing-Kampagnen identifiziert, bei denen E-Mails eingesetzt wurden, die vermeintlich von regionalen Postdiensten stammten. Darüber hinaus stellte der Bericht fest, dass im Rahmen von Großveranstaltungen wie der Doha Expo 2023 vermehrt HTML-Schmuggel zur Verbreitung von Malware zum Einsatz kommt. Mithilfe dieser Technik werden gefährliche Dateitypen, die normalerweise von E-Mail-Gateways blockiert werden, in Firmen eingeschleust – die Folge ist ein Malware-Befall.
Nach Bekanntgabe der aktuellen Zero-Day-Schwachstelle im Microsoft Support Diagnostic Tool (MSDT) – genannt „Follina“ – nutzten zahlreiche Bedrohungsakteure diese aus, um QakBot, Agent Tesla und den Remcos RAT (Remote Access Trojan) noch vor der Verfügbarkeit eines Patches zu verbreiten. Das Defizit gibt Angreifern die Möglichkeit, beliebigen Code auszuführen, um Malware zu verbreiten. Darüber hinaus ist kaum Interaktion mit dem Anwender notwendig, um Schadprogramme auf den Zielcomputern zu installieren – dies macht das Defizit besonders gefährlich.
Neue Malware-Familie SVCReady
HP hat eine Kampagne aufgedeckt, die eine neue Malware-Familie namens SVCReady über in Office-Dokumenten versteckten Shellcode verbreitet. Die Malware sammelt Systeminformationen und lädt im Anschluss sekundäre Malware-Nutzlasten auf infizierte PCs. Das Schadprogramm befindet sich noch in einem frühen Entwicklungsstadium und wurde in den vergangenen Monaten mehrfach aktualisiert.