HP-Wolf-Security-Report zeigt aktuelle Techniken und Phishing-Köder
Das Erwachen der LNK-Dateien
HP Wolf Security veröffentlichte die aktuelle Ausgabe seines quartalsweise erscheinenden Threat-Insights-Reports. Demnach setzen Cyberkriminelle, die Malware-Familien – wie QakBot, IceID, Emotet und RedLine Stealer – für ihre Angriffe nutzen, vermehrt auf Verknüpfungsdateien (auch LNK genannt), um die Schadprogramme zu verbreiten.
Haben Cyberkriminelle Zugang auf das Unternehmensnetzwerk, sind sie in der Lage, wertvolle Daten zu stehlen oder an Ransomware-Gruppen weiterzuverkaufen. Dies wiederum führt zu weitreichenden Sicherheitsverletzungen, die den Geschäftsbetrieb zum Erliegen bringen und erhebliche Kosten für die Behebung verursachen können.
Der Report analysiert reale Cyberattacken und zeigt einen Anstieg von elf Prozent bei mit Malware infizierten Archivdateien, darunter auch LNK-Dateien. Um E-Mail-Scanner zu umgehen, platzieren Angreifer die Verknüpfungsdateien in ZIP-E-Mail-Anhängen. Hacker-Foren bieten dazu LNK-Malware-Baukästen an. Cyberkriminelle sind damit in der Lage, schädliche Verknüpfungsdaten zu erstellen und damit Organisationen ins Visier zu nehmen.
HP Wolf Security analysiert Bedrohungen auf PCs, die Erkennungs-Tools nicht entdeckt haben, und erhält damit laut eigenem Bekunden spezifische Einblicke in die aktuellen Techniken der Cyberkriminellen. Neben der Zunahme von LNK-Dateien liefert der Report in diesem Quartal darüber hinaus die folgenden Erkenntnisse:
- HTML-Schmuggel erreicht kritische Masse: HP hat mehrere Phishing-Kampagnen identifiziert, bei denen E-Mails im Einsatz waren, die vermeintlich von regionalen Postdiensten stammten. Darüber hinaus stellte der Bericht fest, dass im Rahmen von Großveranstaltungen wie der Doha Expo 2023 vermehrt HTML-Schmuggel zur Verbreitung von Malware zum Einsatz kommt. Mit Hilfe dieser Technik lassen sich gefährliche Dateitypen, die E-Mail-Gateways normalerweise blockieren, in Firmen einschleusen.
- Angreifer nutzen das durch die Zero-Day-Schwachstelle Follina entstandene Defizit aus: Nach Bekanntgabe der aktuellen Zero-Day-Schwachstelle im Microsoft-Support-Diagnostic-Tool (MSDT) – genannt „Follina“ – nutzten zahlreiche Bedrohungsakteure diese aus, um QakBot, Agent Tesla und den Remcos RAT (Remote Access Trojan) noch vor der Verfügbarkeit eines Patches zu verbreiten. Das Defizit gibt Angreifern die Möglichkeit, beliebigen Code auszuführen, um Malware zu verbreiten. Darüber hinaus ist kaum Interaktion mit dem Anwender nötig, um Schadprogramme auf den Zielcomputern zu installieren.
- Neuartige Ausführungsmethode ist im Einsatz: HP hat eine Kampagne aufgedeckt, die eine neue Malware-Familie namens SVCReady über in Office-Dokumenten versteckten Shellcode verbreitet. Die Malware sammelt Systeminformationen und lädt im Anschluss sekundäre Malware-Nutzlasten auf infizierte PCs. Das Schadprogramm befindet sich noch in einem frühen Entwicklungsstadium und wurde in den vergangenen Monaten mehrfach aktualisiert.
Der Report zeigt zudem, dass 14 Prozent der erfassten E-Mail-Malware mindestens einen E-Mail-Gateway-Scanner umgehen konnte und Bedrohungsakteure 593 unterschiedliche Malware-Familien bei ihren Versuchen nutzten, um Unternehmen zu infizieren. Darüber hinaus stellte sich heraus, dass Tabellenkalkulationen nach wie vor der wichtigste schädliche Dateityp sind. Darüber hinaus verzeichnete das Bedrohungsforschungsteam einen elfprozentigen Anstieg bei Archivdateien. Die häufigsten Phishing-Köder waren Geschäftsvorgänge wie „Bestellung“, „Zahlung“, „Kauf“, „Anfrage“ und „Rechnung“.
Die Ergebnisse basieren auf Daten von Millionen von Endgeräten. HP Wolf Security führt laut eigenen Angaben riskante Aufgaben wie das Öffnen von E-Mail-Anhängen, das Herunterladen von Dateien und das Klicken auf Links in isolierten, mikro-virtuellen Maschinen (Micro-VMs) aus, um Anwender zu schützen. Die HP-Technik zur Anwendungsisolierung entschärfe Bedrohungen, die anderen Security-Tools entgehen können. Ebenso biete sie Einblicke in neuartige Intrusionstechniken sowie in das Verhalten von Bedrohungsakteuren.
Lesen Sie mehr zum Thema
