Laut der aktuellen Ausgabe des HP Wolf Security Threat Insights Report  setzen Cyber-Kriminelle, die Malware-Familien wie QakBot, IceID, Emotet und RedLine Stealer für ihre Angriffe nutzen, vermehrt auf Verknüpfungs-Dateien. Mit den LNK-Dateien  verbreiten sie ihre Schadprogramme. Bisher wurden hauptsächlich Office-Makros als Einfallstor für Malware ins Unternehmensnetzwerk genutzt.  Diese werden mittlerweile allerdings standardmäßig von Office blockiert.

Verknüpfungsdateien versteckt in ZIP-E-Mail-Anhängen

Die mit Malware infizierten Archivdateien, darunter auch LNK-Dateien, sind um elf Prozent angestiegen. Um E-Mail-Scanner zu umgehen, platzieren Angreifer die Verknüpfungsdateien in ZIP-E-Mail-Anhängen. Hacker-Foren bieten dazu LNK-Malware-Baukästen an: Cyber-Kriminelle sind damit in der Lage, schädliche Verknüpfungsdaten zu erstellen und damit Organisationen ins Visier zu nehmen – somit wird den Angreifern ein unkomplizierter Wechsel auf eine „makro-freie“ Code-Ausführungstechnik ermöglicht.

„Das Öffnen einer Verknüpfung oder einer HTML-Datei mag für einen Mitarbeiter harmlos erscheinen, kann aber ein großes Risiko für die Organisation darstellen“, erklärt Alex Holland, Senior Malware Analyst, HP Wolf Security Threat Research Team. „Wir empfehlen, Verknüpfungsdateien, die als E-Mail-Anhänge empfangen oder aus dem Internet heruntergeladen werden, wenn möglich sofort zu blockieren.“Vermehrter HTML-Schmuggel zur Verbreitung von Malware

HP hat weiterhin mehrere Phishing-Kampagnen identifiziert, bei denen E-Mails eingesetzt wurden, die vermeintlich von regionalen Postdiensten stammten. Darüber hinaus stellte der Bericht fest, dass im Rahmen von Großveranstaltungen wie der Doha Expo 2023 vermehrt HTML-Schmuggel zur Verbreitung von Malware zum Einsatz kommt. Mithilfe dieser Technik werden gefährliche Dateitypen, die normalerweise von E-Mail-Gateways blockiert werden, in Firmen eingeschleust – die Folge ist ein Malware-Befall.

Nach Bekanntgabe der aktuellen Zero-Day-Schwachstelle im Microsoft Support Diagnostic Tool (MSDT) – genannt „Follina“ – nutzten zahlreiche Bedrohungsakteure diese aus, um QakBot, Agent Tesla und den Remcos RAT (Remote Access Trojan) noch vor der Verfügbarkeit eines Patches zu verbreiten. Das Defizit gibt Angreifern die Möglichkeit, beliebigen Code auszuführen, um Malware zu verbreiten. Darüber hinaus ist kaum Interaktion mit dem Anwender notwendig, um Schadprogramme auf den Zielcomputern zu installieren – dies macht das Defizit besonders gefährlich.

Neue Malware-Familie SVCReady

HP hat eine Kampagne aufgedeckt, die eine neue Malware-Familie namens SVCReady über in Office-Dokumenten versteckten Shellcode verbreitet. Die Malware sammelt Systeminformationen und lädt im Anschluss sekundäre Malware-Nutzlasten auf infizierte PCs. Das Schadprogramm befindet sich noch in einem frühen Entwicklungsstadium und wurde in den vergangenen Monaten mehrfach aktualisiert.

Roger Homrich

Recent Posts

Transformation der Rechenzentren: Frist des Energieeffizienzgesetzes endet im März

Zwischenbilanz nach 14 Monaten EnEfG: Die meisten Rechenzentren haben noch erheblichen Handlungsbedarf, sagt Gastautor Martin…

1 Tag ago

Malware-Ranking Januar: Formbook und SnakeKeylogger an der Spitze

Zum Jahresbeginn gab es in Deutschland auf dem Podium der berüchtigtsten Malware-Typen viele Veränderungen. Altbekannte…

1 Tag ago

Phishing statt Liebe: Cyber-Betrug rund um den Valentinstag

Im Januar 2025 beobachteten Sicherheitsforscher von Check Point über 18 000 neue Websites zum Thema…

2 Tagen ago

KI-Index: Jeder dritte Mittelständler setzt derzeit KI ein

KI-Lösungen befinden sich bei knapp 24 Prozent der befragten Unternehmen in Test- oder Pilotphase, 10…

2 Tagen ago

Peek & Cloppenburg Düsseldorf geht in die Oracle Cloud

Einzelhändler will mit Warenwirtschafts- und Cloud-ERP-Lösungen Produktivität steigern und Kosten senken.

2 Tagen ago

Digitale Patienten-Zwillinge: Wie weit ist die Forschung?

Im Interview erläutern Fraunhofer-Forschende, welche Antworten Zwillingsmodelle bereits liefern und was in nächster Zeit zu…

3 Tagen ago