Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Angreifer nutzen Zero-Day-Schwachstelle aus

Cyberkriminelle haben eine Vorliebe für Zero-Day-Schwachstellen. So wurde beispielsweise die Zero-Day-Schwachstelle CVE-2021-40444, welche die MSHTML-Browser-Engine mit Microsoft Office-Dokumenten bei der Ausführung vom Remote-Code gefährdet, eine Woche vor der Bereitstellung des Patches am 14. September genutzt.

Am 10. September – nur drei Tage nach dem ersten Threat Bulletin – erkannte ein HP Forschungsteam, dass Skripte zur automatischen Erstellung dieses Exploits auf GitHub geteilt wurden. Ein großes Risiko, denn ohne Patch ist es Angreifern möglich, Endgeräte mit nur geringer Benutzerinteraktion zu kompromittieren. Der Exploit verwendet dafür eine bösartige Archivdatei, welche die Malware über ein Office-Dokument verbreitet. Die Datei muss nicht geöffnet oder Makros aktiviert werden. Es reicht aus, sie im Vorschaufenster des Datei-Explorers anzuzeigen, um den Angriff zu starten – unbemerkt vom Nutzer. Sobald das Gerät kompromittiert ist, ermöglicht es Angreifern, Hintertüren in die Systeme einzubauen. Diese lassen sich dann an Ransomware-Gruppen verkaufen. HP analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden. Die Daten wurden innerhalb der virtuellen Maschinen von HP Wolf Security-Kunden zwischen Juli und September 2021 gesammelt. Die wichtigsten Bedrohungen, die von HP Wolf Security isoliert wurden, sind unter anderem:

• Immer mehr Cyberkriminelle nutzen legitime Cloud- und Web-Anbieter, um Malware zu hosten:

Eine kürzlich durchgeführte GuLoader-Kampagne hostete den Remote Access Trojaner (RAT) Remcos auf großen Plattformen wie OneDrive, um Intrusion Detection Systeme zu umgehen und Whitelisting-Tests zu bestehen. HP Wolf Security entdeckte außerdem verschiedene Malware, die auf Social Media-Plattformen für Spiele wie Discord gehostet wurden.

• JavaScript-Malware entgeht Erkennungstools:

Verschiedene JavaScript-RATs werden zunehmend über bösartige E-Mail-Anhänge verbreitet, da JavaScript-Downloader seltener als Office-Downloader oder Binärdateien erkannt werden. RATs werden dazu immer häufiger genutzt, um Anmeldeinformationen für Geschäftskonten oder Krypto-Wallets zu stehlen.

• Der Wechsel zu HTA-Dateien verbreitet die Malware mit einem einzigen Klick:

Der Trickbot-Trojaner wird über HTA-Dateien (HTML-Anwendung) verbreitet, welche die Malware verbreiten, sobald der Anhang oder die Datei, die sie enthält, geöffnet wird. Aufgrund des ungewöhnlichen Dateityps ist die Wahrscheinlichkeit geringer, dass bösartige HTA-Dateien von Erkennungstools erkannt werden.

Die Ergebnisse basieren auf Millionen Endpunkt-Daten von HP Wolf Security. HP Wolf Security spürt Malware durch die Isolierung risikoreicher Aufgaben in mikro-virtuellen Maschinen auf. Dies ermöglicht ein besseres Verständnis und Erfassen der vollständigen Infektionskette und hilft so, Bedrohungen zu entschärfen. Dadurch konnten Kunden bislang mehr als 10 Milliarden E-Mail-Anhänge, Webseiten und Downloads anklicken, ohne dass ein Verstoß gemeldet wurde. Das bessere Verständnis für Malware ermöglicht Forschern und Ingenieuren von HP Wolf Security, den Schutz von Endgeräten und die allgemeine Widerstandsfähigkeit von Systemen zu verbessern.

 

Weitere Ergebnisse:

• Zwölf Prozent der isolierten E-Mail-Malware hatte mindestens einen Gateway-Scanner umgangen.

• 89 Prozent der entdeckten Malware wurde per E-Mail übertragen, 11 Prozent per Internet-Downloads und weniger als ein Prozent durch andere Überträger wie Wechseldatenträger.

• Die häufigsten Anhänge, die zur Verbreitung von Malware verwendet wurden, waren Archivdateien (38 Prozent, verglichen mit 17,26 Prozent im letzten Quartal), Word-Dokumente (23 Prozent), Tabellen (17 Prozent) und ausführbare Programmdateien (16 Prozent).

• Die fünf häufigsten Phishing-Köder waren Geschäftstransaktionen mit Schlagwörtern wie „Bestellung“, „Zahlung“, „Neu“, „Angebot“ und „Anfrage“.

• Zwölf Prozent der entdeckten Malware war bisher unbekannt.

 

 

 

 

Teaserfoto: © Adobe Stock/profit_image