Blockierte Makros: Angreifer finden neue Wege

Blockierte Makros: Angreifer finden neue Wege

Beitrag teilen

Seitdem Microsoft nun standardmäßig alle Makros blockiert, suchen Cyberangreifer neue Wege – und finden sie. Security-Forscher von Proofpoint haben das beobachtet und konnten so Einblicke in das Verhalten der Cyberkriminellen gewinnen.

Diese Verwerfungen sind größtenteils darauf zurückzuführen, dass Microsoft Makros nun standardmäßig blockiert. Alle Akteure in der cyberkriminellen Nahrungskette – vom kleinen, unbedarften Hacker bis hin zu den erfahrensten Cyberkriminellen, die große Ransomware-Angriffe durchführen – sind daher gezwungen, ihre Arbeitsweise anzupassen.

Anzeige

Keine Makros? Es gibt andere Wege!

🔎 Da VBA- und XL4-Makros geblockt werden, steigen Angreifer wie Qbot auf andere Dateitypen um, wie HTML-Smuggling oder VHD (Bild: Proofpoint).

Die Security-Forscher von Proofpoint konnten wertvolle Einblicke in das veränderte Verhalten der Cyberkriminellen gewinnen. Demnach experimentieren die Angreifer nun in großem Umfang mit veralteten Dateitypen, unerwarteten Angriffsketten und einer Vielzahl von Techniken, um ihre Malware-Payloads zu verbreiten – einschließlich Ransomware.

Dabei konnte Proofpoint folgende Beobachtungen machen:

  • Nach wie vor testen Cyberkriminelle verschiedene Ansätze, um die effektivste Methode zu finden, mit der sie via E-Mail ein Ziel kompromittieren können. Hier zeigt sich: Es gibt keine zuverlässige, einheitliche Methode, die von allen Akteuren des Cybercrime-Ökosystems angewandt wird.
  • Sobald eine Gruppe Cyberkrimineller eine neue Technik nutzt, wird diese in den darauffolgenden Wochen bzw. Monaten auch von anderen Tätergruppen zum Einsatz gebracht.
  • Besonders gerissene Cybercrime-Akteure verfügen über die Zeit und die Ressourcen, die notwendig sind, um neue Malware-Verbreitungstechniken zu entwickeln und zu testen.

Am Beispiel der cyberkriminellen Gruppe TA570, auch bekannt unter dem Namen „Qbot“, lässt sich gut erkennen, wie sehr die Täter nun in ihren Bemühungen variieren, Malware an ihre potenziellen Opfer auszuspielen.

Qbot ändert seine komplette Strategie

Ursprünglich, also vor Juni 2022, griff TA570 in seinen Kampagnen fast ausschließlich auf VBA-Makros und XL4-Makros zurück, um Malware-Payloads zu verbreiten. Hier handelte es sich in der Regel um Qbot, aber auch um IcedID. Im Juni 2022 konnten die Security-Forscher von Proofpoint erste Veränderungen beobachten. Die Gruppe wendete sich mehreren neuen Taktiken, Techniken und Verfahren (TTPs) zu, insbesondere nutzten sie erstmals HTML Smuggling.

In den folgenden Monaten griff TA570 zu immer neuen und unterschiedlichen TTPs, wobei in einem Monat bis zu sechs verschiedene und einzigartige Angriffsketten genutzt wurden und zahlreiche Dateitypen zum Einsatz kamen. Die Dateitypen umfassten unter anderem PDF, LNK, virtuelle Festplatten (VHD), ISO, OneNote, Windows Script File (WSF) und XLLs.

Die Proofpoint-Experten haben ihre Erkenntnisse rund um das Verschwinden von Makros als Angriffsvektor in einer detaillierten Untersuchung in einem PDF-Report zusammengestellt.

Direkt zum PDF-Report bei Proofpoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

APT-Gruppe TA397 attackiert Rüstungsunternehmen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen