von Redaktion IT-A…
Lesezeit
1 Minute
Angreifer nutzen Excel-Add-ins
Das HP Wolf Security Team identifizierte eine Vielzahl von Angriffen, bei denen Excel-Add-in-Dateien zur Verbreitung von Malware genutzt wurden. Diese gewährten Cyber-Kriminellen Zugang zu Unternehmen und Einzelpersonen, stahlen ihre Daten und setzten sie zerstörerischen Ransomware-Angriffen aus.
Die Zahl der Angreifer, die Systeme mit bösartigen Microsoft Excel-Add-in-Dateien (.xll) kompromittieren, hat sich im Vergleich zum letzten Quartal versechsfacht (+588 Prozent). Diese Technik ist besonders gefährlich, da sich die Malware mit nur einem einzigen Klick ausführen lässt. Darüber hinaus fand das Team Werbung für .xll-Dropper und Malware-Baukästen, die es unerfahrenen Angreifern erleichtern, Angriffe auszuführen.
Weitere Bedrohungen, die das HP Wolf Security Threat Insight Team isolierte, waren:
13 Prozent der isolierten E-Mail-Malware hatte laut dem zugrundeliegenden Q4-Report 2021 [1] mindestens einen Gateway-Scanner umgangen. Bei den Versuchen, Unternehmen zu infizieren, wurden 136 verschiedene Dateierweiterungen verwendet. 77 Prozent der entdeckten Malware wurde per E-Mail verbreitet, 13 Prozent per Internet-Downloads.
Die häufigsten Anhänge, die zur Verbreitung von Malware verwendet wurden, waren Dokumente (29 Prozent), Archive (28 Prozent), ausführbare Programmdateien (21 Prozent) und Tabellen (20 Prozent). Die häufigsten Phishing-Köder bezogen sich auf das neue Jahr oder geschäftliche Transaktionen mit Schlagwörtern wie "Bestellung", "2021/2022", "Bezahlung", "Kauf", "Anfrage" und "Rechnung".
dr
[1] https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-q4-2021/
Weitere Bedrohungen, die das HP Wolf Security Threat Insight Team isolierte, waren:
- Die Rückkehr von TA505? HP identifizierte eine MirrorBlast-E-Mail-Phishing-Kampagne, deren Taktiken, Techniken und Verfahren (TTPs) der Bedrohungsgruppe TA505 ähnelte. Die Gruppe ist für massive Malware-Spam-Kampagnen und den monetären Zugriff auf infizierte Systeme mittels Ransomware bekannt. Der Angriff zielte auf Organisationen mit dem FlawedGrace Remote Access Trojan (RAT) ab.
- Eine gefälschte Gaming-Plattform, die Opfer mit RedLine infiziert: Eine gefälschte Discord-Installationswebsite verleitete Besucher dazu, den Infostealer RedLine herunterzuladen und stahl so ihre Anmeldedaten.
- Die Umstellung ungewöhnlicher Dateitypen umgeht immer noch die Erkennung: Die Aggah-Bedrohungsgruppe nahm koreanischsprachige Organisationen mit bösartigen PowerPoint-Add-In-Dateien (.ppa) ins Visier, die als Bestellungen getarnt waren und Systeme mit Remote-Access-Trojanern infizierten. PowerPoint-Malware ist selten und macht nur ein Prozent der Malware aus.
13 Prozent der isolierten E-Mail-Malware hatte laut dem zugrundeliegenden Q4-Report 2021 [1] mindestens einen Gateway-Scanner umgangen. Bei den Versuchen, Unternehmen zu infizieren, wurden 136 verschiedene Dateierweiterungen verwendet. 77 Prozent der entdeckten Malware wurde per E-Mail verbreitet, 13 Prozent per Internet-Downloads.
Die häufigsten Anhänge, die zur Verbreitung von Malware verwendet wurden, waren Dokumente (29 Prozent), Archive (28 Prozent), ausführbare Programmdateien (21 Prozent) und Tabellen (20 Prozent). Die häufigsten Phishing-Köder bezogen sich auf das neue Jahr oder geschäftliche Transaktionen mit Schlagwörtern wie "Bestellung", "2021/2022", "Bezahlung", "Kauf", "Anfrage" und "Rechnung".
dr
[1] https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-q4-2021/