Opfer pro Klick

HP warnt vor Zunahme bösartiger PDF-Kampagnen und Office-Exploits

, HP | Autor: Herbert Wieler

HP warnt vor Zunahme bösartiger PDF-Kampagnen und Office-Exploits

HP Wolf Security Threat Insights Report

HP Inc. (NYSE: HPQ) stellt die Ergebnisse seines neuen, vierteljährlich erscheinenden HP Wolf Security Threat Insights Report vor. Dabei zeigte sich, dass Cyber-Kriminelle weiterhin innovative Wege finden, um Endgeräte zu infizieren. Das HP Wolf Security Threat Research Team deckte eine Reihe interessanter Kampagnen auf, darunter:

  • Die DarkGate-Kampagne nutzt Werbe-Tools, um Angriffe zu verstärken: Bösartige PDF-Anhänge, die sich als OneDrive-Fehlermeldungen ausgeben, leiten Benutzer zu gesponserten Inhalten weiter. Diese Seiten werden in einem beliebten Werbenetzwerk gehostet und führen zu DarkGate-Malware.
    • Durch die Nutzung von Anzeigendiensten können Bedrohungsakteure analysieren, welche Köder Klicks generieren, und die meisten Benutzer infizieren. Damit sind sie in der Lage, ihre Kampagnen für eine maximale Wirkung zu verfeinern.
    • Mit CAPTCHA-Tools hindern Cyber-Kriminelle automatisierte Analyse Systeme daran, Malware zu scannen und Angriffe zu stoppen, indem sie sicherstellen, dass nur Menschen auf die CAPTCHA Bilder oder Icons klicken.
    • DarkGate verschafft Cyber-Kriminellen den Zugang durch die Hintertür zu Netzwerken. Dieser Zugriff setzt die Opfer Risiken wie Datendiebstahl und Ransomware aus.
  • Verlagerung von Makros zu Office-Exploits: Im vierten Quartal zielten mindestens 84 Prozent der Angriffe auf Tabellenkalkulationen und 73 Prozent auf Word-Dokumente darauf ab, Schwachstellen in Office-Anwendungen auszunutzen. Damit setzt sich der Trend weg von makroaktivierten Office-Angriffen fort. Makro-basierte Angriffe haben jedoch bei Cyber-Kriminellen immer noch ihre Berechtigung. Dies gilt, insbesondere bei Angriffen, die kostengünstige Malware wie Agent Tesla und XWorm nutzen.
  • PDF-Malware ist auf dem Vormarsch: Elf Prozent der im vierten Quartal analysierten Malware nutzte zur Verbreitung PDF-Dokumente – verglichen mit nur vier Prozent im ersten und zweiten Quartal 2023. Ein Beispiel: eine WikiLoader-Kampagne, die ein gefälschtes Paketlieferungs-PDF nutzte. Dieses sollte Nutzer zur Installation von Ursnif-Malware verleiten.
  • Discord und TextBin werden zum Hosten bösartiger Dateien verwendet: Cyber-Kriminelle nutzen legitime Datei- und Text-Sharing-Websites, um bösartige Dateien zu hosten. Unternehmen stufen die Websites häufig als vertrauenswürdig ein. Sie sind damit in der Lage, Anti-Malware-Scanner zu umgehen. Damit erhöhen sich die Chancen der Angreifer, unentdeckt zu bleiben.

Alex Holland, Senior Malware Analyst, HP Wolf Security Threat Research Team, kommentiert: „Cyber-Kriminelle verstehen es immer besser, sich in unsere Köpfe hineinzuversetzen, um zu verstehen, wie wir arbeiten. Sie verfeinern beispielsweise das Design beliebter Cloud-Dienste, so dass eine gefälschte Fehlermeldung nicht unbedingt einen Alarm auslöst – selbst wenn der Benutzer sie zuvor noch nie gesehen hat. GenAI entwickelt mittlerweile mit geringem Aufwand überzeugende bösartige Inhalte. Es wird daher immer schwieriger, zwischen echten und unechten (fake) Inhalten zu unterscheiden.“ HP Wolf Security verfügt über detaillierte Einblicke in die neuesten Techniken, die Cyber-Kriminelle einsetzen. HP gewinnt diese Insights, indem es Bedrohungen erkennt und mit Hilfe spezieller Tools isoliert. Dabei wird das Verhalten der Malware genau analysiert, wodurch wir einzigartige Einblicke in die verwendeten Techniken erhalten. Bis zum derzeitigen Zeitpunkt haben HP Wolf Security Kunden mehr als 40 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien angeklickt, ohne dass eine Infektion gemeldet wurde.

Der HP Wolf Security Threat Insights Report zeigt, wie Cyber-Kriminelle ihre Angriffsmethoden immer weiter diversifizieren, um Sicherheitsrichtlinien und Erkennungstools zu umgehen. Zu weiteren Erkenntnissen des Reports gehören:

  • Archive waren im siebten Quartal in Folge die beliebteste Malware-Übertragungsart. Sie wurde in 30 Prozent der analysierten Malware verwendet.
  • Mindestens 14 Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner.
  • Die wichtigsten Bedrohungsvektoren im vierten Quartal waren E-Mails (75 Prozent), Downloads von Browsern (13 Prozent) und Hardware wie USB-Laufwerke (12 Prozent).

Dr. Ian Pratt, Global Head of Security, Personal Systems, HP Inc., kommentiert: „Cyber-Kriminelle nutzen die gleichen Tools, die ein Unternehmen zur Verwaltung einer Marketing-Kampagnen verwenden könnten. So optimieren sie ihre Malware-Kampagnen – und erhöhen die Wahrscheinlichkeit, dass Nutzer den entsprechenden Köder schlucken. Um sich gegen Cyber-Kriminelle zu schützen, sollten Unternehmen Zero-Trust-Prinzipien befolgen. Als weitere Sicherheitsmaßnahmen können sie riskante Aktivitäten wie das Öffnen von E-Mail-Anhängen, das Klicken auf Links und Browser-Downloads isolieren und einschränken.“

HP Wolf Security führt riskante Aufgaben in isolierten, hardwaregestützten virtuellen Maschinen (VM) auf dem Endgerät aus. Damit sind die Anwender geschützt, ohne ihre Produktivität zu beeinträchtigen. Außerdem zeichnet HP Wolf Security detaillierte Spuren von Infektionsversuchen auf. Die HP-Technologie zur Anwendungsisolierung entschärft Bedrohungen, die anderen Sicherheitstools entgehen können. Damit bietet sie detaillierte Einblicke in Angriffstechniken sowie das Verhalten von Bedrohungsakteuren.

Die Daten wurden von Oktober bis Dezember 2023 von zustimmenden HP Wolf Security-Kunden erhoben.