Home » News » Cybersecurity » Cyberkriminelle kompensieren Makro-Aus mit dynamischen Angriffstechniken

Cyberkriminelle kompensieren Makro-Aus mit dynamischen Angriffstechniken

Die Cyberbedrohungslandschaft für Unternehmen aller Größenordnungen hat im letzten Jahr eine massive Veränderung erlebt, die maßgeblich von Microsofts Entscheidung beeinflusst wurde, Makros standardmäßig zu blockieren. Diese Veränderung hat dazu geführt, dass alle Akteure in der cyberkriminellen Nahrungskette, angefangen bei unerfahrenen Hackern bis hin zu den erfahrensten Cyberkriminellen, die komplexe Ransomware-Angriffe durchführen, gezwungen sind, ihre Arbeitsweise anzupassen.

2 Min. Lesezeit
Payload
Foto: ©AdobeStock/maurice norbert

Früher waren Makros ein beliebtes Werkzeug für Cyberkriminelle, um schädlichen Code in Office-Dokumenten zu verbergen und so Zugang zu den Systemen ihrer Opfer zu erlangen. Diese Makro-basierten Angriffe waren oft erfolgreich, da viele Benutzer nicht ausreichend über die damit verbundenen Risiken informiert waren und Makros standardmäßig aktiviert waren. Die Blockierung von Makros durch Microsoft bedeutet jedoch einen Wendepunkt in der Verteidigung gegen solche Angriffe.

Die neuesten Erkenntnisse der Security-Forscher von Proofpoint liefern wertvolle Einblicke in das sich verändernde Verhalten der Cyberkriminellen. Die Angreifer sind nun verstärkt darum bemüht, ihre Malware-Payloads über verschiedene Wege zu verbreiten, darunter auch veraltete Dateitypen, unerwartete Angriffsketten und eine Vielzahl von Techniken, einschließlich Ransomware.

Die Forscher von Proofpoint haben dabei folgende Beobachtungen gemacht:

  • Die Cyberkriminellen testen weiterhin verschiedene Ansätze, um die effektivste Methode zu finden, mit der sie ein Ziel über E-Mails kompromittieren können. Es gibt jedoch keine einheitliche Methode, die von allen Akteuren im Cybercrime-Ökosystem angewandt wird.
  • Sobald eine Gruppe von Cyberkriminellen eine neue Technik verwendet, wird diese in den darauffolgenden Wochen oder Monaten auch von anderen Tätergruppen übernommen.
  • Besonders ausgefuchste Cybercrime-Akteure verfügen über die Zeit und die Ressourcen, um neue Techniken zur Verbreitung von Malware zu entwickeln und zu testen.

Ein gutes Beispiel für diese Variabilität in den Vorgehensweisen der Täter ist die cyberkriminelle Gruppe TA570, auch bekannt als „Qbot“. Die Security-Forscher haben beobachtet, wie diese Gruppe ihre Bemühungen zur Verbreitung von Malware variiert hat. Ursprünglich, vor Juni 2022, verließ sich TA570 hauptsächlich auf VBA-Makros und XL4-Makros, um ihre Malware-Payloads zu verbreiten, hauptsächlich Qbot und IcedID. Im Juni 2022 stellten die Forscher von Proofpoint erste Veränderungen fest. Die Gruppe begann, mehrere neue Taktiken, Techniken und Verfahren (TTPs) einzusetzen, insbesondere nutzten sie erstmals HTML Smuggling.

In den folgenden Monaten griff TA570 auf immer neue und unterschiedliche TTPs zurück. In einem einzigen Monat wurden bis zu sechs verschiedene und einzigartige Angriffsketten verwendet, wobei eine Vielzahl von Dateitypen zum Einsatz kam. Diese Dateitypen umfassten unter anderem PDF, LNK, virtuelle Festplatten (VHD), ISO, OneNote, Windows Script File (WSF) und XLLs.

Diese Erkenntnisse verdeutlichen, wie flexibel und anpassungsfähig Cyberkriminelle sein können, um ihre schädlichen Aktivitäten voranzutreiben. Unternehmen müssen daher stets auf dem neuesten Stand der Bedrohungslandschaft bleiben und ihre Sicherheitsmaßnahmen entsprechend anpassen, um sich effektiv vor den sich ständig weiterentwickelnden Taktiken der Angreifer zu schützen.

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Golden leuchtende cloud mit Cybersecurity-Symbol

Wer die Schlüssel nicht kontrolliert, verliert die Datenhoheit

Der DORA Oversight Guide macht klar: Finanzunternehmen müssen vollständige Kontrolle über ihre Verschlüsselung und Schlüssel nachweisen – auch bei Cloud-Diensten wie Microsoft oder...

Moderne Darstellung eines Bankraubs

140 Millionen durch einen Klick: Vom Angriff zum Zugriff

Ein Mausklick statt Masken, ein Datenleck statt Dynamit: Der digitale Bankraub von heute benötigt keinen Brecheisen mehr – nur Zugangsdaten. Der jüngste Fall eines durch Bestechung...

Hacker mit Smartphone

Neue Konfety-Variante täuscht Android-Nutzer und Sicherheitstools

Sie gibt sich harmlos, agiert heimlich und nutzt moderne ZIP-Manipulationen, um sich jeder Entdeckung zu entziehen: Eine neue Variante der Android-Malware Konfety setzt Maßstäbe in...