Bbabo NET

Wissenschaft & Technologie Nachrichten

Cyberkriminelle verwenden zunehmend infizierte Excel-Dateien

Die Zahl der Angreifer, die schädliche Microsoft Excel-Add-In-Dateien (.xll) verwenden, um Opfersysteme zu infizieren, hat sich im Vergleich zum Vorquartal fast versiebenfacht. Solche Angriffe erwiesen sich als sehr gefährlich, weil. Um die Malware zu starten, müssen Sie nur auf die vom Cyberkriminellen gesendete Datei klicken. Das Team fand im Dark Web auch Werbung für „Dropper“ (Software zum Bereitstellen und Ausführen von .xll-Dateien) und ganze Software-Entwicklungskits, die es unerfahrenen Angreifern erleichtern, solche Kampagnen durchzuführen.

In einer kürzlich durchgeführten Spam-Kampagne von QakBot verteilten Angreifer Excel-Dateien über kompromittierte E-Mail-Konten. Die Kriminellen haben E-Mails abgefangen und gefälschte Antwortnachrichten mit einer schädlichen Excel-Datei (.xlsb) im Anhang gesendet. Nach der Übermittlung an das Gerät des Opfers injiziert sich QakBot in Betriebssystemprozesse, um eine Erkennung zu vermeiden. Schädliche Excel-Dateien (.xls) wurden auch verwendet, um den Bankentrojaner Ursnif per Spam an italienischsprachige Unternehmen und Organisationen des öffentlichen Sektors zu verbreiten. Gleichzeitig gaben sich die Angreifer als Mitarbeiter des italienischen Kurierdienstes BRT aus. Auch die neuen Malware-Kampagnen von Emotet nutzen jetzt Excel- statt JavaScript- oder Word-Dateien.

Andere bemerkenswerte Bedrohungen, die von den Sicherheitsexperten von HP Wolf Security identifiziert wurden, sind:

Mögliche Rückgabe von TA505. HP deckte eine MirrorBlast-Phishing-Kampagne auf, bei der Hacker dieselben Taktiken, Methoden und Verfahren wie TA505 anwendeten, eine Gruppe von Cyberkriminellen, die für massive böswillige Spam-Kampagnen und die Monetarisierung des Zugriffs auf infizierte Systeme mit Ransomware bekannt ist. Die neue Kampagne zielt auf Organisationen ab und verwendet den Trojaner FlawedGrace Remote Access (RAT).

Gefälschte Spielplattform, die schädlichen RedLine-Code verbreitet. HP-Spezialisten entdeckten eine gefälschte Website mit einem Discord-Client, der mit RedLine-Code infiziert war und Benutzerdaten gestohlen hatte.

Die Verwendung ungewöhnlicher Dateitypen durch Hacker kann immer noch Sicherheitssysteme umgehen. Die cyberkriminelle Gruppe Aggah zielt auf koreanischsprachige Unternehmen ab und verwendet bösartige PowerPoint-Add-in-Dateien (.ppa), die als Kundenaufträge getarnt sind, um Systeme mit Fernzugriffstrojanern zu infizieren. Angriffe durch die Verteilung infizierter PowerPoint-Dateien sind eine sehr unbeliebte Wahl und machen nur 1 % der Malware aus.

„Die Verwendung von Standard-Softwarefunktionen für kriminelle Zwecke ist eine gängige Taktik für Angreifer, um der Entdeckung zu entgehen – ebenso wie die Verwendung ungewöhnlicher Dateitypen, die durch E-Mail-Gateways „durchsickern“ können, ohne entdeckt zu werden. Sicherheitsabteilungen sollten sich nicht ausschließlich auf Intrusion Detection-Technologien verlassen: Es ist wichtig, neue Bedrohungen genau im Auge zu behalten und ihre Abwehrmaßnahmen entsprechend zu aktualisieren. Angesichts der sprunghaften Verbreitung bösartiger .xll-Dateien, die wir heute beobachten, empfehlen wir Netzwerkadministratoren dringend, E-Mail-Gateways so zu konfigurieren, dass sie eingehende .xll-Anhänge blockieren, Ausnahmen nur für Add-Ins von vertrauenswürdigen Partnern machen oder Excel vollständig deaktivieren Add-Ins, kommentiert Alex Holland (Alex Holland), Senior Malware Analyst, Threat Research Group, HP Wolf Security, HP Inc. „Angreifer finden ständig neue Wege, um der Erkennung zu entgehen. Aus diesem Grund ist es wichtig, dass Unternehmen ihre Sicherheitssysteme basierend auf der Bedrohungslandschaft und den Geschäftsanforderungen ihrer Benutzer aufbauen und anpassen. Angreifer nutzen heute aktiv Angriffsmethoden wie das Abfangen von E-Mails, was es für Benutzer noch schwieriger macht, Kollegen und Partner von Kriminellen zu unterscheiden.“

Die Ergebnisse in diesem Bericht basieren auf der Analyse von vielen Millionen Endgeräten, auf denen HP Wolf Security Software ausgeführt wird. Diese Software von HP verfolgt Malware, indem sie heruntergeladene Dateien in isolierten mikrovirtuellen Maschinen (Micro-VMs) öffnet, um die Mechanismen der Infektion zu untersuchen. Das Verständnis, wie sich Malware in ihrer natürlichen Umgebung verhält, ermöglicht es den Forschern und Ingenieuren von HP Wolf Security, den Endgeräteschutz zu verbessern und die Systemstabilität zu verbessern.

Mit der HP Wolf Security-Software konnten Kunden über 10 Milliarden E-Mail-Anhänge, Webseiten und Downloads öffnen, ohne dass Lecks gemeldet wurden.

Weitere wichtige Ergebnisse der Studie sind:

13 % der isolierten bösartigen Skripte, die per E-Mail gesendet wurden, umgingen mindestens einen E-Mail-Gateway-Sicherheitsscanner.Die Angreifer verwendeten 136 verschiedene Dateierweiterungen, um Firmencomputer zu infizieren.

77 % der entdeckten Malware wurde per E-Mail zugestellt, nur 13 % davon wurden aus dem Internet heruntergeladen.

Die am häufigsten zum Verbreiten von Malware verwendeten Anhänge waren Dokumente (29 %), Archive (28 %), .exe-Dateien (21 %) und Tabellenkalkulationen (20 %).

Die häufigsten Phishing-Köder waren E-Mails zum Jahreswechsel oder zu Geschäftsvorfällen, etwa zu Themen wie „Bestellung“, „2021/2022“, „Zahlung“, „Kauf“, „Antrag“ und „Rechnung“.

„Heutzutage können Low-Level-Angreifer verdeckte Angriffe durchführen und ihren Zugang an organisierte Gruppen von Cyberkriminellen verkaufen, die Ransomware für ihre Aktivitäten verwenden. Infolgedessen führt dies zu groß angelegten Angriffen, die IT-Systeme zum Erliegen bringen und das gesamte Unternehmen lahmlegen können“, kommentiert Dr. Ian Pratt, Global Head of Personal Systems Security, HP Inc. – Organisationen sollten sich darauf konzentrieren, die Angriffsfläche zu reduzieren und sicherzustellen, dass ihre Systeme schnell wiederhergestellt werden können, wenn sie kompromittiert werden. Das bedeutet, den Prinzipien von Zero Trust zu folgen und starke Identitätssysteme einzuführen, Benutzern minimale Privilegien zu gewähren und Geräte ab der Hardwareebene zu isolieren.“

Die Daten für die Studie wurden von Oktober bis Dezember 2021 von HP Wolf Security-Spezialisten auf virtuellen Maschinen von Kunden gesammelt.

Cyberkriminelle verwenden zunehmend infizierte Excel-Dateien