Malware versteckt in der Archivdatei
Kombination aus Archivdateien und HTML-Schmuggel hilft Cyberkriminellen Tools auszutricksen.
Der HP Wolf Security Threat Insights Report für das dritte Quartal 2022 zeigt, dass Archivdateiformate wie ZIP- und RAR-Dateien der häufigste Dateityp für die Verbreitung von Malware sind. 44 Prozent der Malware war in Archivdateien enthalten – ein Anstieg um elf Prozent gegenüber dem letzten Quartal. Damit übertreffen sie zum ersten Mal seit drei Jahren Office-Dateien wie Microsoft Word, Excel und PowerPoint . Grundlage der Studie sind anonymisierte Nutzungsdaten von Millionen von Endgeräten, auf denen HP Wolf Security läuft. Die Daten für die Studie wurden zwischen Juli und September 2022 anonym in virtuellen Maschinen gesammelt.
Bösartige Archivdateien in HTML-Dateien eingebettet
Mehrere Kampagnen kombinieren die Verwendung von Archivdateien mit neuen HTML-Schmuggeltechniken. Hierbei betten Cyber-Kriminelle bösartige Archivdateien in HTML-Dateien ein und umgehen E-Mail-Gateways, um die Angriffe zu starten. So wurden bei den jüngsten QakBot- und IceID-Kampagnen HTML-Dateien verwendet, um Anwender zu gefälschten Online-Dokumentenbetrachtern zu leiten, die sich als Adobe ausgaben. Sie wurden dann angewiesen, eine ZIP-Datei zu öffnen und ein Passwort einzugeben, um die Dateien zu öffnen. Diese installierten daraufhin Malware auf ihren PCs.
Da die Malware in der ursprünglichen HTML-Datei verschlüsselt ist, lässt sie sich durch E-Mail-Gateways oder andere Sicherheitstools nur äußerst schwierig erkennen. Stattdessen setzen Angreifer auf Social Engineering anhand überzeugender und gut gestalteter Webseiten. Diese verleiten Anwender dazu, den Angriff durch das Öffnen bösartiger ZIP-Datei zu starten. Im Oktober wurden dieselben Angreifer dabei ertappt, wie sie gefälschte Google Drive-Seiten verwendeten, um Nutzer dazu zu bringen, bösartige ZIP-Dateien zu öffnen.
Web-Proxys, Sandboxes oder E-Mail-Scanner umgehen
„Archive lassen sich leicht verschlüsseln, so dass Bedrohungsakteure Malware verstecken und Web-Proxys, Sandboxes oder E-Mail-Scanner umgehen können. Dadurch ist es schwieriger, Angriffe zu entdecken – insbesondere, wenn diese in Kombination mit HTML-Schmuggeltechniken umgesetzt werden. Interessant an den QakBot- und IceID-Kampagnen war der Aufwand, der in die Erstellung der gefälschten Seiten gesteckt wurde. Diese Kampagnen waren überzeugender als alles, was wir bisher gesehen haben. Sie erschweren es Anwendern, zu erkennen, welchen Dateien sie vertrauen können und welchen nicht“, erklärt Alex Holland, Senior Malware Analyst, HP Wolf Security Threat Research Team, HP Inc.
Darüber hinaus identifizierte HP auch eine komplexe Kampagne mit einer modularen Infektionskette. Damit ist es Angreifern unter Umständen möglich, Payload wie Spyware, Ransomware oder Keylogger während der Kampagne zu ändern oder neue Funktionen wie Geo-Fencing einzuführen. So könnte ein Angreifer seine Taktik entsprechend dem Angriffsziel ändern. Die Malware ist dabei nicht direkt in den an das Ziel gesendeten Anhang aufgenommen. Damit wird es für E-Mail-Gateways schwieriger, solche Angriffe zu erkennen.
Einblicke in neuartige Intrusionstechniken
HP Wolf Security führt riskante Aufgaben wie das Öffnen von E-Mail-Anhängen, das Herunterladen von Dateien und das Anklicken von Links in isolierten, mikro-virtuellen Maschinen (Micro-VMs) aus, um Anwender zu schützen – darüber hinaus werden detaillierte Spuren von Infektionsversuchen erfasst. Die HP Technologie zur Anwendungsisolierung entschärft Bedrohungen, die anderen Security-Tools entgehen können, und bietet detaillierte Einblicke in neuartige Intrusionstechniken sowie das Verhalten von Bedrohungsakteuren. Durch die Isolierung von Bedrohungen auf PCs, die sich Erkennungstools entzogen haben, erhält HP Wolf Security konkrete Einblicke in die neuesten Techniken, die von Cyber-Kriminellen eingesetzt werden. Bis heute haben HP Kunden mehr als 18 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien angeklickt, ohne dass ein Sicherheitsverstoß gemeldet wurde.