Experten für Cybersicherheit haben vor neuen Phishing-Methoden gewarnt, mit denen Angreifer detektionsbasierte Sicherheitsinstrumente umgehen. Sie integrieren „Schadsoftware“ in ultrarealistische PDF-Dateien, Pixelbilder oder komprimierte IMG-Dateien.
Angesichts der sich ständig verändernden kriminellen Landschaft entwickeln Angreifer ihre traditionellen Betrugsmethoden wie „Phishing“ oder „Living off the Land“ (LOTL) weiter, wobei letzteres eine Form des „Hackings“ ist, bei der legitime Tools und Funktionen, die in Systemen verfügbar sind, für böswillige Aktionen genutzt werden. All dies geschieht mit dem Ziel, Erkennungssysteme zu umgehen und die Computer potenzieller Opfer zu hacken.
Insbesondere verwenden Cyberkriminelle in ihren neuen Methoden „mehrere ungewöhnliche Binärdateien“ in einer Kampagne, was die Unterscheidung zwischen böswilligen und legitimen Aktivitäten noch schwieriger macht, wie aus dem aktuellen Bedrohungsbericht der Sicherheitsexperten von HP hervorgeht.
Dieser Bericht, der Daten für den Zeitraum von April bis Juni dieses Jahres enthält, deckt kürzlich entdeckte Methoden in Cyberangriffskampagnen auf, basierend auf Daten, die von Millionen von Endpunkten gesammelt wurden, die durch das HP Wolf Security-System geschützt sind, wie das Unternehmen in seiner Pressemitteilung ausführlich beschreibt.
„Reverse Shell” in gefälschten PDF-Dateien
In diesem Zusammenhang basiert eine der aufgedeckten Phishing-Kampagnen auf der Verwendung gefälschter Adobe Reader-Konten. Insbesondere versuchten die Angreifer in dieser neuen Welle von Social Engineering, ein als „Reverse Shell” bekanntes Skript auf den Computern potenzieller Opfer zu installieren, mit dem sie die Fernsteuerung über das Gerät erlangen.
Um die Benutzer zu täuschen, wurde dieses Skript in ein kleines SVG-Bild eingebettet, das eine Adobe Acrobat Reader-PDF-Datei imitierte und sogar einen gefälschten Ladebalken hatte. Wenn der Benutzer in die Falle tappte und die Datei öffnete, wurde automatisch eine Infektionskette ausgelöst.
Darüber hinaus beschränkten die Cyberkriminellen in ähnlichen Fällen, die vom HP-Team analysiert wurden, den Download des Skripts auf deutschsprachige Regionen, um das Risiko einer Entdeckung zu verringern und die automatische Analyse zu erschweren.
In Pixelbildern versteckte „Malware“
Eine weitere von HP gemeldete Methode besteht darin, „Malware“ in Pixelbildern zu verstecken. Dazu verwenden die Angreifer kompilierte HTML-Hilfedateien (CHM) von Microsoft, um den schädlichen Code in den Pixeln der Bilder zu verstecken und sie als Projektdokumente zu tarnen.
Die Forscher stellten fest, dass es Cyberkriminellen in einigen Fällen gelang, die Nutzlast des Fernzugriffstrojaners XWorm zu übertragen, der mithilfe einer Kette von schrittweisen Infektionen unter Verwendung mehrerer LOTL-Methoden gestartet wurde.
Dementsprechend wurde während des Angriffs auch die Microsoft PowerShell-Schnittstelle verwendet, um eine CMD-Datei zu starten, die nach dem Herunterladen und Ausführen alle Spuren löschte.
