Seit Februar 2022 verschärft Microsoft stetig die Sicherheitseinstellungen der Office Produkte, wodurch standardmäßig Makros in Office-Dateien blockiert wurden. Die vom HP Threat Research Team gesammelten Daten zeigen jedoch, dass Angreifer seit dem zweiten Quartal 2022 neue Wege suchen, um in Geräte einzudringen und Daten zu stehlen.

Seit Oktober 2022 beobachtet HP fast täglich QR-Code-Scan-Betrug. Dabei werden Anwender dazu verleitet, QR-Codes von ihren PCs aus mit ihren mobilen Geräten zu scannen – möglicherweise, um den schwächeren Phishing-Schutz und die Erkennung auf solchen Geräten auszunutzen. Die QR-Codes leiten die Benutzer auf bösartige Websites weiter, auf denen Kredit- und Debitkartendaten abgefragt werden. Ein Beispiel aus dem vierten Quartal: Phishing-Kampagnen, bei denen sich Bedrohungsakteure als Paketzusteller ausgaben und Zahlungen verlangten.

HP identifizierte außerdem einen Anstieg von 38 Prozent bei bösartigen PDF-Anhängen: Jüngste Angriffe nutzten demnach in PDF-Dokumenten eingebettete Bilder, die auf verschlüsselte bösartige ZIP-Dateien verwiesen und so Web-Gateway-Scanner umgingen. Die PDF-Anweisungen enthielten ein Passwort, das Anwender eingeben mussten, um die ZIP-Datei zu entpacken. Mit Hilfe von QakBot- oder IcedID-Malware verschafften sich die Bedrohungsakteure im Anschluss Zugriff auf Systeme, die dann als Ausgangspunkte für die Verbreitung von Ransomware genutzt werden.

Malware über Archivdateien und Malvertising
Ebenfalls gestiegen ist die Verbreitung von Malware über Archivdateien, und zwar seit dem ersten Quartal 2022 um 20 Prozent. Bedrohungsakteure nutzen in dem Zusammenhang vermehrt Skripte, um ihre Malware zu verbreiten. Im Vergleich dazu wurden 38 Prozent der Malware über Office-Dateien wie Microsoft Word, Excel und PowerPoint verbreitet.

Im vierten Quartal identifizierte HP ferner 24 populäre Softwareprojekte, die in Malvertising-Kampagnen nachgeahmt wurden und PCs mit acht Malware-Familien infizierten – im Vorjahr waren es nur zwei ähnliche Kampagnen gewesen. Die Angriffe zielen darauf ab, dass Benutzer auf Suchmaschinenwerbung klicken, die zu bösartigen Websites führen, die fast identisch mit den echten Websites sind.

"Die Methoden entwickeln sich weiter, doch Bedrohungsakteure setzen nach wie vor auf Social Engineering, um Benutzer am Endpunkt anzugreifen", kommentiert Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP. "Organisationen sollten eine starke Isolierung einsetzen, um die häufigsten Angriffsvektoren wie E-Mail, Web-Browsing und Downloads einzudämmen. Darüber hinaus sollten sie Lösungen zum Schutz von Anmeldeinformationen installieren. Diese warnen Anwender oder hindern sie daran, sensible Daten auf verdächtigen Websites preiszugeben. Dadurch wird die Angriffsfläche erheblich verringert und die Sicherheit verbessert."