Startseite Themen Brennpunkt INNOVATIONSPREIS-IT IT-Bestenliste INDUSTRIEPREIS INDUSTRIE-Bestenliste TrafficGenerator
INNOVATIONSPREIS-IT 2017

Drucken
Mittelstandspresse

04.12.2024

Phishing-Kampagne nutzt Recovery Feature von Microsoft Word

Eine neue Phishing-Kampagne nutzt beschädigte Word-Dokumente, um die Opfer zu täuschen. Nutzen die Opfer das Recovery Feature von Microsoft Word, öffnen sie damit die kompromittierte Datei.

Neustadt an der Weinstraße, 04.12.2024 (PresseBox) - Die meisten Computer-Nutzer kennen das Szenario: Man arbeitet mehrere Stunden an einem Dokument und dann hängt sich das Programm oder gleich der ganze Rechner auf. Nichts geht mehr und man kann nur hoffen, dass die Arbeit der letzten Stunden nicht umsonst war. In dieser Situation ist das Recovery Feature von Microsoft Word sehr praktisch. Öffnet man das Programm, fragt ein Pop-up, ob man die zuletzt genutzte Datei wiederherstellen möchte. So hat man im schlimmsten Fall nur die letzten Änderungen verloren, nicht aber das gesamte Dokument.

Doch nun nutzen Cyberkriminelle diese hilfreiche Funktion für ihre Phishing-Kampagne aus, wie Sicherheitsforscher von Any.Run berichten. Dazu versendeten die Angreifer absichtlich beschädigte Dateien, die angeblich aus der Lohnbuchhaltung oder der Personalabteilung stammen und sich mit Bonuszahlungen oder anderen Zusatzleistungen für Mitarbeitende befassen.

Die in dieser Kampagne verschickten Dokumente enthalten alle die base64-kodierte Zeichenfolge „IyNURVhUTlVNUkFORE9NNDUjIw“, die zu „##TEXTNUMRANDOM45##“ entschlüsselt wird. Beim Öffnen der Anhänge erkennt Word, dass die Datei beschädigt ist, meldet, dass es „unlesbaren Inhalt“ in der Datei gefunden hat, und fragt das Opfer, ob es diesen wiederherstellen möchte.

Das Perfide daran: Die Phishing-Dokumente sind so beschädigt, dass sie leicht wiederhergestellt werden können, aber von Sicherheitssoftware nicht erkannt werden. Im Dokument wird die Zielperson auffordert, einen QR-Code zu scannen, um ein weiteres Dokument abzurufen. Für zusätzliche Glaubwürdigkeit wird das Dokument mit dem Unternehmens-Logo des Opfers versehen. Durch das Scannen des QR-Codes wird der Benutzer allerdings auf eine Phishing-Website geleitet. Mit einer als Microsoft-Login getarnten Seite versuchen die Betrüger, die Anmeldedaten des Benutzers zu stehlen.

Der Einsatz von vorsätzlich beschädigten Word-Dokumenten ist ein neuer Trend im Vorgehen der Cyberkriminellen. Besonders gefährlich daran ist, dass aktuelle Sicherheitslösungen den schädlichen Inhalt der Dokumente meist nicht aufspüren können. So luden die Sicherheitsforscher beispielsweise entdeckte Dokumente bei VirusTotal hoch und nahezu alle Antivirenlösungen gaben grünes Licht oder konnten die Datei überhaupt nicht analysieren. Laut der Sicherheitsforscher könnte das auch daran liegen, dass keine Malware oder anderer schädlicher Code zum Dokument hinzugefügt wurde, sondern lediglich ein QR-Code.

Schutz vor derartigen Angriffen bieten die üblichen Regeln zum Umgang mit Phishing. Zum Beispiel sollten niemals Anhänge aus den E-Mails unbekannter Absender geöffnet werden. Darüber hinaus sollten keine persönlichen Daten auf Webseiten eingegeben werden, die man über Hyperlinks in E-Mails erreicht.

Ansprechpartner

Felicitas Kraus
+49 (30) 30308089-14
Zuständigkeitsbereich: Pressereferentin

Julia Olmscheid
+49 6321 484460
Zuständigkeitsbereich: Head of Communications

Über 8com GmbH & Co. KG:

Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.

8com gehört zu den führenden Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Das Security Operations Center von 8com ist das einzige in der DACH-Region, das ISO 27001-zertifiziert ist auf Basis von BSI IT-Grundschutz.