Neue Masche von Cyberkriminellen

Neue Masche von Cyberkriminellen
Anzeige

Beitrag teilen

Seit Microsoft im Jahr 2022 damit begonnen hat, Makros standardmäßig zu blockieren, haben Cyberkriminelle mit vielen neuen Taktiken, Techniken und Verfahren (TTPs) experimentiert, einschließlich der Verwendung von zuvor selten beobachteten Dateitypen wie virtuellen Festplatten (VHD), kompiliertem HTML (CHM) und jetzt OneNote (.one). Zum Zeitpunkt der Analyse wurden mehrere von Proofpoint beobachtete OneNote-Malware-Samples von zahlreichen Antiviren-Anbietern auf VirusTotal nicht erkannt.

Während die Themen und Absender der E-Mails variieren, verwenden fast alle Kampagnen eindeutige Nachrichten, um Malware zu verbreiten, und nutzen in der Regel kein Thread-Hijacking. Die E-Mails enthalten für gewöhnlich OneNote-Dateianhänge mit Themen wie „Rechnung“, „Überweisung“, „Versand“ oder saisonalen Themen wie „Weihnachtsgeld“. Mitte Januar 2023 beobachteten die Forscher von Proofpoint, dass Cyberkriminelle URLs zur Übermittlung von OneNote-Anhängen verwenden, die dieselben TTPs zur Ausführung von Malware nutzen. Dazu gehört eine TA577-Kampagne am 31. Januar 2023.

Anzeige

OneNote-Dokumente mit eingebetteten Dateien

Die OneNote-Dokumente enthalten eingebettete Dateien, die oft hinter einer Grafik versteckt sind, die wie eine Schaltfläche aussieht. Wenn der Benutzer auf die eingebettete Datei doppelklickt, wird er mit einer Warnung konfrontiert. Wenn der Benutzer auf „Weiter“ klickt, wird die Datei ausgeführt. Bei der Datei kann es sich um verschiedene Arten von ausführbaren Dateien handeln, Verknüpfungsdateien (LNK) oder Skriptdateien wie HTML-Anwendungen (HTA) oder Windows-Skriptdateien (WSF).

Die Zahl der Kampagnen, die OneNote-Anhänge verwenden, stieg zwischen Dezember 2022 und dem 31. Januar 2023 deutlich an. Während die Proofpoint-Experten im Dezember nur OneNote-Kampagnen mit AsyncRAT-Malware beobachteten, fanden die Forscher im Januar 2023 sieben weitere Malware-Typen, die über OneNote-Anhänge verbreitet wurden: Redline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK und Qbot. Die Kampagnen richteten sich an Organisationen auf der ganzen Welt, u.a. Europa.


Die steigende Anzahl der Kampagnen und die Vielfalt der eingesetzten Malware lassen darauf schließen, dass OneNote inzwischen von mehreren Akteuren mit unterschiedlichen Fähigkeiten genutzt wird. Während einige Kampagnen ähnliche Köder und Zielgruppen nutzen, verwenden die meisten Kampagnen unterschiedliche Infrastrukturen, Themen und Zielgruppen. Nur eine Kampagne konnte einer bestimmten Cyberkriminellen-Gruppe zugeordnet werden: TA577.

Sorge und Hoffnung

Proofpoint geht davon aus, dass mehrere Gruppen Cyberkrimineller OneNote-Anhänge verwenden, um Abwehrmechanismen auszutricksen. Die Verwendung von OneNote durch TA577 deutet darauf hin, dass auch andere, fähigere Akteure diese Technik bald einsetzen werden. Dies ist besorgniserregend: Als sogenannter „Initial Access Broker“ bereitet TA577 den Weg für Folgeinfektionen mit weiterer Malware, einschließlich Ransomware. Basierend auf Daten in Open-Source-Malware-Repositories hat Proofpoint festgestellt, dass die ursprünglich verwendeten Anhänge von mehreren Antiviren-Engines nicht als bösartig erkannt wurden. Daher ist es wahrscheinlich, dass die anfänglichen Kampagnen eine hohe Wirksamkeitsrate hatten (Proofpoint-Kunden waren geschützt, da die Nachrichten als bösartig eingestuft wurden).

Ein Grund zur Hoffnung besteht in der Tatsache, dass ein Angriff nur dann erfolgreich ist, wenn der Empfänger nach Öffnen des Anhangs selbst aktiv wird, insbesondere indem er auf die eingebettete Datei klickt und die von OneNote angezeigte Warnmeldung ignoriert. Unternehmen sollten ihre Endbenutzer über diese Technik aufklären und sie dazu ermutigen, verdächtige E-Mails und Anhänge zu melden.

Mehr bei Proofpoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

Emotet übernimmt Microsoft OneNote-Anhänge

Emotet geht wieder neue Wege und infiziert Microsoft OneNote-Dokumente. Das in Unternehmen beliebte digitale Notizbuch ist für viele Anwender somit ➡ Weiterlesen

Angriffe auf die Lieferkette

Schon immer suchten Angreifer das schwächste Glied in der Kette, um eine Abwehr zu durchbrechen. Das hat sich auch in ➡ Weiterlesen

USB-Wurm wandert über drei Kontinente

Die längst verstaubt geglaubte Masche eines USB-Sticks mit Schadsoftware wurde tatsächlich noch einmal aus der Cybercrime-Kiste geholt. Der bekannte Wurm ➡ Weiterlesen

Entwicklung 2022: Cyberkriminalität, Kriege, Ransomware

In seinem Bericht "2023 State of Malware" stellt Security-Experte Malwarebytes die Entwicklungen des Jahres 2022 zusammen: Geopolitische Cyberkriminalität, Ransomware und ➡ Weiterlesen

Top Malware im Q1-2023: Qbot, Formbook, Emotet

Der Global Threat Index für das Frühjahr 2023 von Check Point zeigt, dass die Malwares Qbot, Formbook und Emotet am ➡ Weiterlesen

E-Mail-Kommunikation: Ende-zu-Ende verschlüsselt

E-Mails gelten als eine der wichtigsten Kommunikationsformen im geschäftlichen Umfeld. Aber nur jedes zweite Unternehmen nutzt Ende-zu-Ende-Verschlüsselungsmethoden wie PGP oder ➡ Weiterlesen

Lazarus: Neue Backdoor gegen Ziele in Europa 

Die durch viele Angriffe bekannte APT-Gruppe Lazarus setzt eine neue Backdoor Malware auch gegen Ziele in Europa ein. Der Einsatzzwecke ➡ Weiterlesen

Mobile Security Report: 2 neue Malware-Apps pro Minute 

Smartphone-Besitzer mit Android sind einem hohen Cyberrisiko ausgesetzt. Mobile Security: Die Angriffe werden zwar weniger, sind aber deutlich besser ausgeführt. ➡ Weiterlesen