Die Malware versteckt in der Archivdatei

Malware, Trojaner, Worm, Virus

HP Inc. (NYSE: HPQ) präsentiert den HP Wolf Security Threat Insights Report für das dritte Quartal 2022. Dieser zeigt, dass Archivdateiformate wie ZIP- und RAR-Dateien der häufigste Dateityp für die Verbreitung von Malware sind. Damit übertreffen sie zum ersten Mal seit drei Jahren Office-Dateien.

Die Ergebnisse des Reports basieren auf der Analyse realer Cyberangriffe. So unterstützt HP Unternehmen dabei, mit den neuesten Angriffstechniken, die Cyber-Kriminelle einsetzen, Schritt zu halten.

Anzeige

Grundlage der Studie sind anonymisierte Nutzungsdaten von Millionen von Endgeräten, auf denen HP Wolf Security läuft. Sie ergab, dass 44 Prozent der Malware in Archivdateien enthalten war – ein Anstieg um elf Prozent gegenüber dem letzten Quartal. 32 Prozent wurden über Office-Dateien wie Microsoft Word, Excel und PowerPoint verbreitet. Der aktuelle Bericht identifizierte mehrere Kampagnen, die die Verwendung von Archivdateien mit neuen HTML-Schmuggeltechniken kombinieren. Hierbei betten Cyber-Kriminelle bösartige Archivdateien in HTML-Dateien ein und umgehen E-Mail-Gateways, um die Angriffe zu starten.

So wurden bei den jüngsten QakBot- und IceID-Kampagnen HTML-Dateien verwendet, um Anwender zu gefälschten Online-Dokumentenbetrachtern zu leiten, die sich als Adobe ausgaben. Sie wurden dann angewiesen, eine ZIP-Datei zu öffnen und ein Passwort einzugeben, um die Dateien zu öffnen. Diese installierten daraufhin Malware auf ihren PCs. 

Da die Malware in der ursprünglichen HTML-Datei verschlüsselt ist, lässt sie sich durch E-Mail-Gateways oder andere Sicherheitstools nur äußerst schwierig erkennen. Stattdessen setzen Angreifer auf Social Engineering anhand überzeugender und gut gestalteter Webseiten. Diese verleiten Anwender dazu, den Angriff durch das Öffnen bösartiger ZIP-Datei zu starten. Im Oktober wurden dieselben Angreifer dabei ertappt, wie sie gefälschte Google Drive-Seiten verwendeten, um Nutzer dazu zu bringen, bösartige ZIP-Dateien zu öffnen. 

Archive lassen sich leicht verschlüsseln, so dass Bedrohungsakteure Malware verstecken und Web-Proxys, Sandboxes oder E-Mail-Scanner umgehen können. Dadurch ist es schwieriger, Angriffe zu entdecken – insbesondere, wenn diese in Kombination mit HTML-Schmuggeltechniken umgesetzt werden. Interessant an den QakBot- und IceID-Kampagnen war der Aufwand, der in die Erstellung der gefälschten Seiten gesteckt wurde. Diese Kampagnen waren überzeugender als alles, was wir bisher gesehen haben. Sie erschweren es Anwendern, zu erkennen, welchen Dateien sie vertrauen können und welchen nicht.

Darüber hinaus identifizierte HP auch eine komplexe Kampagne mit einer modularen Infektionskette. Damit ist es Angreifern unter Umständen möglich, Payload wie Spyware, Ransomware oder Keylogger während der Kampagne zu ändern oder neue Funktionen wie Geo-Fencing einzuführen. So könnte ein Angreifer seine Taktik entsprechend dem Angriffsziel ändern. Die Malware ist dabei nicht direkt in den an das Ziel gesendeten Anhang aufgenommen. Damit wird es für E-Mail-Gateways schwieriger, solche Angriffe zu erkennen.

Die Studie zeigt, dass Angreifer ihre Techniken laufend verändern, was es für Tools schwierig macht, sie zu erkennen. Mit dem Zero-Trust-Prinzip können Unternehmen durch Mikro-Virtualisierung gewährleisten, dass potenziell bösartige Aktionen in einer virtuellen Maschine ausgeführt werden, die unabhängig von den zugrunde liegenden Systemen. Dieser Prozess ist für Anwender vollkommen unsichtbar und fängt Malware effizient ab. Angreifer haben keinen Zugriff auf sensible Daten und werden zudem effizient daran gehindert, sich Zugang zu IT-Systemen zu verschaffen und ihre Malware weiter zu verbreiten.

HP Wolf Security führt riskante Aufgaben wie das Öffnen von E-Mail-Anhängen, das Herunterladen von Dateien und das Anklicken von Links in isolierten, mikro-virtuellen Maschinen (Micro-VMs) aus, um Anwender zu schützen – darüber hinaus werden detaillierte Spuren von Infektionsversuchen erfasst. Die HP Technologie zur Anwendungsisolierung entschärft Bedrohungen, die anderen Security-Tools entgehen können, und bietet detaillierte Einblicke in neuartige Intrusionstechniken sowie das Verhalten von Bedrohungsakteuren. Durch die Isolierung von Bedrohungen auf PCs, die sich Erkennungstools entzogen haben, erhält HP Wolf Security konkrete Einblicke in die neuesten Techniken, die von Cyber-Kriminellen eingesetzt werden. Bis heute haben HP Kunden mehr als 18 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien angeklickt, ohne dass ein Sicherheitsverstoß gemeldet wurde.

www.hp.com/de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.