Die Malware versteckt in der Archivdatei

HP Wolf Security Report: Kombination aus Archivdateien und HTML-Schmuggel hilft Cyber-Kriminellen Tools auszutricksen

HP Inc. präsentiert den HP Wolf Security Threat Insights Report für das dritte Quartal 2022. Dieser zeigt, dass Archivdateiformate wie ZIP- und RAR-Dateien der häufigste Dateityp für die Verbreitung von Malware sind. Damit übertreffen sie zum ersten Mal seit drei Jahren Office-Dateien. Die Ergebnisse des Reports basieren auf der Analyse realer Cyberangriffe. So unterstützt HP Unternehmen dabei, mit den neuesten Angriffstechniken, die Cyber-Kriminelle einsetzen, Schritt zu halten.

Grundlage der Studie sind anonymisierte Nutzungsdaten von Millionen von Endgeräten, auf denen HP Wolf Security läuft. Sie ergab, dass 44 Prozent der Malware in Archivdateien enthalten war – ein Anstieg um elf Prozent gegenüber dem letzten Quartal. 32 Prozent wurden über Office-Dateien wie Microsoft Word, Excel und PowerPoint verbreitet.[i] Der aktuelle Bericht identifizierte mehrere Kampagnen, die die Verwendung von Archivdateien mit neuen HTML-Schmuggeltechniken kombinieren. Hierbei betten Cyber-Kriminelle bösartige Archivdateien in HTML-Dateien ein und umgehen E-Mail-Gateways, um die Angriffe zu starten.

So wurden bei den jüngsten QakBot- und IceID-Kampagnen HTML-Dateien verwendet, um Anwender zu gefälschten Online-Dokumentenbetrachtern zu leiten, die sich als Adobe ausgaben. Sie wurden dann angewiesen, eine ZIP-Datei zu öffnen und ein Passwort einzugeben, um die Dateien zu öffnen. Diese installierten daraufhin Malware auf ihren PCs.

Da die Malware in der ursprünglichen HTML-Datei verschlüsselt ist, lässt sie sich durch E-Mail-Gateways oder andere Sicherheitstools nur äußerst schwierig erkennen. Stattdessen setzen Angreifer auf Social Engineering anhand überzeugender und gut gestalteter Webseiten. Diese verleiten Anwender dazu, den Angriff durch das Öffnen bösartiger ZIP-Datei zu starten. Im Oktober wurden dieselben Angreifer dabei ertappt, wie sie gefälschte Google Drive-Seiten verwendeten, um Nutzer dazu zu bringen, bösartige ZIP-Dateien zu öffnen.

„Archive lassen sich leicht verschlüsseln, so dass Bedrohungsakteure Malware verstecken und Web-Proxys, Sandboxes oder E-Mail-Scanner umgehen können. Dadurch ist es schwieriger, Angriffe zu entdecken – insbesondere, wenn diese in Kombination mit HTML-Schmuggeltechniken umgesetzt werden. Interessant an den QakBot- und IceID-Kampagnen war der Aufwand, der in die Erstellung der gefälschten Seiten gesteckt wurde. Diese Kampagnen waren überzeugender als alles, was wir bisher gesehen haben. Sie erschweren es Anwendern, zu erkennen, welchen Dateien sie vertrauen können und welchen nicht“, erklärt Alex Holland, Senior Malware Analyst, HP Wolf Security Threat Research Team, HP Inc.

Darüber hinaus identifizierte HP auch eine komplexe Kampagne mit einer modularen Infektionskette. Damit ist es Angreifern unter Umständen möglich, Payload wie Spyware, Ransomware oder Keylogger während der Kampagne zu ändern oder neue Funktionen wie Geo-Fencing einzuführen. So könnte ein Angreifer seine Taktik entsprechend dem Angriffsziel ändern. Die Malware ist dabei nicht direkt in den an das Ziel gesendeten Anhang aufgenommen. Damit wird es für E-Mail-Gateways schwieriger, solche Angriffe zu erkennen.

„Die Studie zeigt, dass Angreifer ihre Techniken laufend verändern, was es für Tools schwierig macht, sie zu erkennen“, sagt Dr. Ian Pratt, Global Head of Security for Personal Systems, HP Inc.

„Mit dem Zero-Trust-Prinzip können Unternehmen durch Mikro-Virtualisierung gewährleisten, dass potenziell bösartige Aktionen in einer virtuellen Maschine ausgeführt werden, die unabhängig von den zugrunde liegenden Systemen. Dieser Prozess ist für Anwender vollkommen unsichtbar und fängt Malware effizient ab. Angreifer haben keinen Zugriff auf sensible Daten und werden zudem effizient daran gehindert, sich Zugang zu IT-Systemen zu verschaffen und ihre Malware weiter zu verbreiten.“

HP Wolf Security führt riskante Aufgaben wie das Öffnen von E-Mail-Anhängen, das Herunterladen von Dateien und das Anklicken von Links in isolierten, mikro-virtuellen Maschinen (Micro-VMs) aus, um Anwender zu schützen – darüber hinaus werden detaillierte Spuren von Infektionsversuchen erfasst. Die HP Technologie zur Anwendungsisolierung entschärft Bedrohungen, die anderen Security-Tools entgehen können, und bietet detaillierte Einblicke in neuartige Intrusionstechniken sowie das Verhalten von Bedrohungsakteuren. Durch die Isolierung von Bedrohungen auf PCs, die sich Erkennungstools entzogen haben, erhält HP Wolf Security konkrete Einblicke in die neuesten Techniken, die von Cyber-Kriminellen eingesetzt werden. Bis heute haben HP Kunden mehr als 18 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien angeklickt, ohne dass ein Sicherheitsverstoß gemeldet wurde.

Über die Studie

Die Daten wurden zwischen Juli und September 2022 anonym in virtuellen Maschinen von HP Wolf Security Kunden gesammelt.

1As detailed in page 2 of the HP Wolf Security Q3 Threat Insights Report: https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-q3-2022/

2 HP Security is now HP Wolf Security. Security features vary by platform, please see product data sheet for details.