Meldung

Verschlüsselte und modulare Malware

HP präsentiert den HP Wolf Security Threat Insights Report für das dritte Quartal 2022. Dieser zeigt, dass Archivdateiformate wie ZIP- und RAR-Dateien der häufigste Dateityp für die Verbreitung von Malware sind. Damit übertreffen sie zum ersten Mal seit drei Jahren Office-Dateien.
Verschlüsselte wie modulare Malware macht Security-Produkten das Leben schwer.
Die Ergebnisse des Reports [1] basieren auf der Analyse realer Cyberangriffe. So unterstützt HP Unternehmen dabei, mit den neuesten Angriffstechniken, die Cyber-Kriminelle einsetzen, Schritt zu halten. Grundlage der Studie sind anonymisierte Nutzungsdaten von Millionen von Endgeräten, auf denen HP Wolf Security läuft.

Sie ergab, dass 44 Prozent der Malware in Archivdateien enthalten war – ein Anstieg um elf Prozent gegenüber dem letzten Quartal. 32 Prozent wurden über Office-Dateien wie Microsoft Word, Excel und PowerPoint verbreitet. Der aktuelle Bericht identifizierte mehrere Kampagnen, die die Verwendung von Archivdateien mit neuen HTML-Schmuggeltechniken kombinieren. Hierbei betten Cyber-Kriminelle bösartige Archivdateien in HTML-Dateien ein und umgehen E-Mail-Gateways, um die Angriffe zu starten.

So wurden bei den jüngsten QakBot- und IceID-Kampagnen HTML-Dateien verwendet, um Anwender zu gefälschten Online-Dokumentenbetrachtern zu leiten, die sich als Adobe ausgaben. Sie wurden dann angewiesen, eine ZIP-Datei zu öffnen und ein Passwort einzugeben, um die Dateien zu öffnen. Diese installierten daraufhin Malware auf ihren PCs.

Nutzer müssen darauf reinfallen
Da die Malware in der ursprünglichen HTML-Datei verschlüsselt ist, lässt sie sich durch E-Mail-Gateways oder andere Sicherheitstools nur äußerst schwierig erkennen. Stattdessen setzen Angreifer auf Social Engineering anhand überzeugender und gut gestalteter Webseiten. Diese verleiten Anwender dazu, den Angriff durch das Öffnen bösartiger ZIP-Datei zu starten. Im Oktober wurden dieselben Angreifer dabei ertappt, wie sie gefälschte Google Drive-Seiten verwendeten, um Nutzer dazu zu bringen, bösartige ZIP-Dateien zu öffnen.

"Archive lassen sich leicht verschlüsseln, so dass Bedrohungsakteure Malware verstecken und Web-Proxys, Sandboxes oder E-Mail-Scanner umgehen können. Dadurch ist es schwieriger, Angriffe zu entdecken – insbesondere, wenn diese in Kombination mit HTML-Schmuggeltechniken umgesetzt werden. Interessant an den QakBot- und IceID-Kampagnen war der Aufwand, der in die Erstellung der gefälschten Seiten gesteckt wurde. Diese Kampagnen waren überzeugender als alles, was wir bisher gesehen haben. Sie erschweren es Anwendern, zu erkennen, welchen Dateien sie vertrauen können und welchen nicht", erklärt Alex Holland, Senior Malware Analyst, HP Wolf Security Threat Research Team, HP Inc.

Modulare Malware
Darüber hinaus identifizierte HP auch eine komplexe Kampagne mit einer modularen Infektionskette. Damit ist es Angreifern unter Umständen möglich, Payload wie Spyware, Ransomware oder Keylogger während der Kampagne zu ändern oder neue Funktionen wie Geo-Fencing einzuführen. So könnte ein Angreifer seine Taktik entsprechend dem Angriffsziel ändern. Die Malware ist dabei nicht direkt in den an das Ziel gesendeten Anhang aufgenommen. Damit wird es für E-Mail-Gateways schwieriger, solche Angriffe zu erkennen.

"Die Studie zeigt, dass Angreifer ihre Techniken laufend verändern, was es für Tools schwierig macht, sie zu erkennen", sagt Dr. Ian Pratt, Global Head of Security for Personal Systems, HP Inc. "Mit dem Zero-Trust-Prinzip können Unternehmen durch Mikro-Virtualisierung gewährleisten, dass potenziell bösartige Aktionen in einer virtuellen Maschine ausgeführt werden, die unabhängig von den zugrunde liegenden Systemen. Dieser Prozess ist für Anwender vollkommen unsichtbar und fängt Malware effizient ab. Angreifer haben keinen Zugriff auf sensible Daten und werden zudem effizient daran gehindert, sich Zugang zu IT-Systemen zu verschaffen und ihre Malware weiter zu verbreiten."

Schutz durch Isolation
HP Wolf Security führt riskante Aufgaben wie das Öffnen von E-Mail-Anhängen, das Herunterladen von Dateien und das Anklicken von Links in isolierten, mikro-virtuellen Maschinen (Micro-VMs) aus, um Anwender zu schützen – darüber hinaus werden detaillierte Spuren von Infektionsversuchen erfasst. Die HP Technologie zur Anwendungsisolierung entschärft Bedrohungen, die anderen Security-Tools entgehen können, und bietet detaillierte Einblicke in neuartige Intrusionstechniken sowie das Verhalten von Bedrohungsakteuren.

Durch die Isolierung von Bedrohungen auf PCs, die sich Erkennungstools entzogen haben, erhält HP Wolf Security konkrete Einblicke in die neuesten Techniken, die von Cyber-Kriminellen eingesetzt werden. Bis heute haben HP Kunden demnach mehr als 18 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien angeklickt, ohne dass ein Sicherheitsverstoß gemeldet wurde.
9.12.2022/dr

Tipps & Tools

Im Test: senhasegura GO Endpoint Manager 3 [2.02.2023]

Der senhasegura GO Endpoint Manager kümmert sich um die Verwaltung und die zielgerichtete Verwendung administrativer Zugangsdaten und Berechtigungen. Das System führt Applikationen mit erhöhten Rechten aus, ohne dass Endanwender dazu dauerhaft privilegierte Rechte benötigen. Im Test zeigte sich, dass diese Rechtevergabe detailliert und flexibel hilft, die Sicherheit zu verbessern. [mehr]

Download der Woche: Alle meine Passworte [25.01.2023]

IT-Profis bewahren ihre Zugangsdaten meist in einem Passwortmanager auf. Ein solcher ist "Alle meine Passworte". Das Tool bringt neben seiner Kostenfreiheit als weitere Vorteile eine Exportfunktion sowie mehrere Verschlüsselungsarten mit. Ebenso möglich ist das automatische Einfügen der relevanten Daten in die entsprechenden Eingabefelder. [mehr]

Fachartikel

Sicherheit mit Penetrationstests erhöhen [1.02.2023]

Jedes Unternehmen kann zum Ziel eines Cyberangriffs werden. Externe Fachleute, sogenannte Ethical Hacker oder White Hats, führen deshalb Penetrationstests durch, um die Verwundbarkeit der IT einer Organisationen auf den Prüfstand zu stellen. Aber viele IT-Entscheider scheuen den Aufwand und die Kosten. Für eine solide Cyberresilienz ist Ethical Hacking aber unverzichtbar. Der Artikel liefert sechs Argumente, warum Pentesting sinnvoll ist. [mehr]

Anzeigen