Neue Masche von Cyberkriminellen

Neue Masche von Cyberkriminellen

Beitrag teilen

Seit Microsoft im Jahr 2022 damit begonnen hat, Makros standardmäßig zu blockieren, haben Cyberkriminelle mit vielen neuen Taktiken, Techniken und Verfahren (TTPs) experimentiert, einschließlich der Verwendung von zuvor selten beobachteten Dateitypen wie virtuellen Festplatten (VHD), kompiliertem HTML (CHM) und jetzt OneNote (.one). Zum Zeitpunkt der Analyse wurden mehrere von Proofpoint beobachtete OneNote-Malware-Samples von zahlreichen Antiviren-Anbietern auf VirusTotal nicht erkannt.

Während die Themen und Absender der E-Mails variieren, verwenden fast alle Kampagnen eindeutige Nachrichten, um Malware zu verbreiten, und nutzen in der Regel kein Thread-Hijacking. Die E-Mails enthalten für gewöhnlich OneNote-Dateianhänge mit Themen wie „Rechnung“, „Überweisung“, „Versand“ oder saisonalen Themen wie „Weihnachtsgeld“. Mitte Januar 2023 beobachteten die Forscher von Proofpoint, dass Cyberkriminelle URLs zur Übermittlung von OneNote-Anhängen verwenden, die dieselben TTPs zur Ausführung von Malware nutzen. Dazu gehört eine TA577-Kampagne am 31. Januar 2023.

OneNote-Dokumente mit eingebetteten Dateien

Die OneNote-Dokumente enthalten eingebettete Dateien, die oft hinter einer Grafik versteckt sind, die wie eine Schaltfläche aussieht. Wenn der Benutzer auf die eingebettete Datei doppelklickt, wird er mit einer Warnung konfrontiert. Wenn der Benutzer auf „Weiter“ klickt, wird die Datei ausgeführt. Bei der Datei kann es sich um verschiedene Arten von ausführbaren Dateien handeln, Verknüpfungsdateien (LNK) oder Skriptdateien wie HTML-Anwendungen (HTA) oder Windows-Skriptdateien (WSF).

Die Zahl der Kampagnen, die OneNote-Anhänge verwenden, stieg zwischen Dezember 2022 und dem 31. Januar 2023 deutlich an. Während die Proofpoint-Experten im Dezember nur OneNote-Kampagnen mit AsyncRAT-Malware beobachteten, fanden die Forscher im Januar 2023 sieben weitere Malware-Typen, die über OneNote-Anhänge verbreitet wurden: Redline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK und Qbot. Die Kampagnen richteten sich an Organisationen auf der ganzen Welt, u.a. Europa.

Die steigende Anzahl der Kampagnen und die Vielfalt der eingesetzten Malware lassen darauf schließen, dass OneNote inzwischen von mehreren Akteuren mit unterschiedlichen Fähigkeiten genutzt wird. Während einige Kampagnen ähnliche Köder und Zielgruppen nutzen, verwenden die meisten Kampagnen unterschiedliche Infrastrukturen, Themen und Zielgruppen. Nur eine Kampagne konnte einer bestimmten Cyberkriminellen-Gruppe zugeordnet werden: TA577.

Sorge und Hoffnung

Proofpoint geht davon aus, dass mehrere Gruppen Cyberkrimineller OneNote-Anhänge verwenden, um Abwehrmechanismen auszutricksen. Die Verwendung von OneNote durch TA577 deutet darauf hin, dass auch andere, fähigere Akteure diese Technik bald einsetzen werden. Dies ist besorgniserregend: Als sogenannter „Initial Access Broker“ bereitet TA577 den Weg für Folgeinfektionen mit weiterer Malware, einschließlich Ransomware. Basierend auf Daten in Open-Source-Malware-Repositories hat Proofpoint festgestellt, dass die ursprünglich verwendeten Anhänge von mehreren Antiviren-Engines nicht als bösartig erkannt wurden. Daher ist es wahrscheinlich, dass die anfänglichen Kampagnen eine hohe Wirksamkeitsrate hatten (Proofpoint-Kunden waren geschützt, da die Nachrichten als bösartig eingestuft wurden).

Ein Grund zur Hoffnung besteht in der Tatsache, dass ein Angriff nur dann erfolgreich ist, wenn der Empfänger nach Öffnen des Anhangs selbst aktiv wird, insbesondere indem er auf die eingebettete Datei klickt und die von OneNote angezeigte Warnmeldung ignoriert. Unternehmen sollten ihre Endbenutzer über diese Technik aufklären und sie dazu ermutigen, verdächtige E-Mails und Anhänge zu melden.

Mehr bei Proofpoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

Report: 40 Prozent mehr Phishing weltweit

Der aktuelle Spam- und Phishing-Report von Kaspersky für das Jahr 2023 spricht eine eindeutige Sprache: Nutzer in Deutschland sind nach ➡ Weiterlesen

IT-Sicherheit: NIS-2 macht sie zur Chefsache

Nur bei einem Viertel der deutschen Unternehmen übernimmt die Geschäftsführung die Verantwortung für die IT-Sicherheit. Vor allem in kleineren Unternehmen ➡ Weiterlesen

Tarnkappen-Malware zielt auf europäische Unternehmen

Hacker greifen mit Tarnkappen-Malware viele Unternehmen in ganz Europa an. ESET Forscher haben einen dramatischen Anstieg von sogenannten AceCryptor-Angriffen via ➡ Weiterlesen

Anstieg der Cyberangriffe um 104 Prozent in 2023

Ein Unternehmen für Cybersicherheit hat die Bedrohungslandschaft des letzten Jahres unter die Lupe genommen. Die Ergebnisse bieten entscheidende Einblicke in ➡ Weiterlesen

Mobile Spyware ist eine Gefahr für Unternehmen

Sowohl im Alltag als auch in Unternehmen nutzen immer mehr Menschen mobile Geräte. Dadurch nimmt auch die Gefahr von "Mobil ➡ Weiterlesen

Test: Security-Software für Endpoints und Einzel-PCs

Die letzten Testergebnisse aus dem Labor von AV-TEST zeigen eine sehr gute Leistung von 16 etablierten Schutzlösungen für Windows an ➡ Weiterlesen

Crowdsourced Security lokalisiert viele Schwachstellen

Crowdsourced Security hat im letzten Jahr stark zugenommen. Im öffentlichen Bereich wurden 151 Prozent mehr Schwachstellen gemeldet als im Vorjahr. ➡ Weiterlesen

Cyberkriminelle lernen dazu

Sicherheitsforscher haben den Incident Response Report 2024 veröffentlicht, der ein besorgniserregendes Bild der zunehmenden Cyber-Bedrohungen zeichnet. Die Erkenntnisse basieren auf ➡ Weiterlesen