Gefährlicher Keylogger Angriff via E-Mail

Im Mai 2022 haben Sicherheitsexperten eine neue Cyberangriffswelle via E-Mail entdeckt, bei der das unverdächtige PDF-Format missbraucht wird, um die gefährliche Keylogger-Malware Snake unbemerkt auf die Geräte ihrer Opfer zu schmuggeln. Unser aktueller Blogbeitrag zeigt Ihnen, auf was Sie unbedingt achten müssen und wie Sie sich erfolgreich gegen einen Snake Keylogger Cyberangriff wehren können.

E-Mail ist Angriffsvektor Nummer eins

E-Mail-Sicherheit sollte sowohl im beruflichen wie auch privaten Umfeld oberste Priorität haben, da die elektronische Post laut IBM immer noch als Angriffsvektor Nummer eins bei Datenschutzverletzungen gilt. Trotz aller Vorsichtsmaßnahmen werden E-Mail Nutzer durch immer ausgeklügeltere Methoden effektiv angegriffen. Die Hacker-Kampagnen zielen dabei immer wieder auf die Schwachstelle Mensch in der Cybersecurity ab, einer Schwachstelle, die in diesem Jahr an 82% aller Verstöße beteiligt war.

Snake Keylogger in PDF-Anhängen

Die von HP Wolf Security entdeckte neue Cybercrime-Kampagne nutzt das sorglose Verhalten von E-Mail-Nutzern, um den sogenannten Snake Keylogger, der die Tastaturanschläge von Nutzern aufzeichnet und die so gesammelten Daten an die Angreifer überträgt, per PDF-Datei auf anfällige Endpunkte zu verteilen. Das Keylogger Programm Snake ist eine modulare, überaus widerstandsfähige Malware, die, wenn sie einmal erfolgreich installiert wurde, die Abwehr vieler IT-Systeme umgeht und sich rasch Zugriff auf Nutzerdaten verschafft. Snake stellt für die ahnungslosen Opfer eine große Bedrohung ihrer Privatsphäre und für die Online-Sicherheit dar, da das Programm auch Screenshots erstellt und Daten aus der Zwischenablage extrahiert. Der Snake Keylogger verschafft Angreifern über infizierte PDF-Dateien Zugriff auf persönliche Anmeldeinformationen wie Benutzernamen, Kennwörter und sogar Bankdaten, ohne dass die Nutzer dies mitbekommen. Hier zeigt sich wieder einmal, dass neben den obligatorischen technischen und organisatorischen Maßnahmen im Unternehmen, auch die Sensibilität und Skepsis von Mitarbeitenden gefragt ist. Erreichen Phishing-Mails die Empfänger, ist die Risikoeinschätzung des Mitarbeitenden die letzte noch verfügbare Hürde, die Cyberkriminelle nehmen müssen.

Ablauf des Snake Keylogger Angriffs

Der genaue Ablauf des Snake Keylogger Angriffs geschieht wie folgt:

Die Angreifer schicken zuerst eine E-Mail mit einer verlockenden Betreffzeile und einem PDF-Anhang an die potenziellen Opfer. Sobald die PDF-Datei geöffnet wird, wird der Benutzer vom PDF-Reader aufgefordert, ein eingebettetes Dokument – eine DOCX-Datei – zu öffnen. Um die Zweifel beim Empfänger erst gar nicht aufkommen zu lassen, trägt das eingebettete Dokument den Zusatz „wurde überprüft“. Das Opfer geht nun vertrauensvoll davon aus, dass der PDF-Reader die Datei auf Schadcode gescannt hat und die Datei ohne Risiko geöffnet werden kann.
Die Word-Datei enthält jedoch ein Makro, das, wenn es aktiviert ist, eine Rich-Text-Datei (RTF) vom Command & Control Server herunterlädt und ausführt. Nach erfolgreichem Download wird die Snake Keylogger Malware nachgeladen.

Damit der Keylogger Angriff erfolgreich sein kann, müssen die angegriffenen Endpunkte für einen bestimmten Fehler anfällig sein. Cyberkriminelle nutzen hier eine bereits im Jahr 2017 identifizierte Microsoft Sicherheitslücke (CVE-2017-11882), die einen Fehler bei der Remotecodeausführung im Formeleditor ausnutzt. Ein Patch wurde zwar bereits im November 2017 zur Verfügung gestellt, jedoch scheinen etliche Betriebssysteme diesbezüglich bis heute nicht aktualisiert, also gepatcht worden zu sein. Insofern wird die Sicherheitslücke weiterhin erfolgreich ausgenutzt. Die Besonderheit beim Snake Keylogger Angriff ist jedoch auch, dass die Angreifer den bösartigen Code nicht durch die bestehenden Abwehrmaßnahmen schleusen müssen. Das potenzielle Opfer lädt den Schadcode selbst herunter und umgeht damit die erkennungsbasierte Gateway-Verteidigung.

Die Hauptpfade für Cyberangriffe

Laut Verizons DBIR gibt es vier Hauptpfade für Cyberangriffe:

Bekannte Anmeldeinformationen (Name & Passwort)
Erfolgreiches Phishing
Ausnutzung von Schwachstellen
Botnets

Wenn nur eines der genannten Elemente nicht abgesichert oder blockiert wird, kann dies zu gefährlichen Einbrüchen in das eigene Netzwerk führen. Im Fall von Snake Keylogger nutzen die Cyberkriminellen zwei dieser Elemente für ihren Angriff: einen gut choreografierten E-Mail-Phishing-Betrug, um ahnungslose Nutzer in die Irre zu führen, und eine Schwachstelle im System, um bösartige Dateien zu installieren.

Sind herkömmliche Schutzmaßnahmen gegen Keylogger Malware nutzlos?

Wie zuvor bereits erwähnt, wurde die neue Snake Keylogger Angriffswelle im Mai 2022 entdeckt und nutzt eine Sicherheitslücke, die eigentlich bereits im November 2017 geschlossen wurde. Eigentlich unvorstellbar, aber der Erfolg der Angriffsmethode kommt nicht von ungefähr. Sicherheitslücken, für die noch keine Signaturen verfügbar sind, sogenannte Zero-Day-Malware, sind ein alltägliches und sehr ernst zu nehmendes Restrisiko in der Cyberabwehr.

Die üblichen Maßnahmen zur Verteidigung von Cyberangriffen via E-Mail funktionieren aus folgenden Gründen nicht zuverlässig:

Exploits für Schwachstellen treten innerhalb von Tagen auf, aber es dauert Wochen – oder wie zuletzt im Fall von Follina in Windows gar Monate – bis Signaturen ausgeliefert und Unternehmen sie gepatcht haben.
Herkömmliche E-Mail-Sicherheits- und Antivirenlösungen können Zero-Day-Angriffe kaum verhindern, da keine Signaturen vorhanden sind, um sie zu erkennen.
Sandbox-Lösungen haben sich als ein Ansatz für die erweiterte Bedrohungserkennung herausgestellt, aber sie eignen sich nicht gut für E-Mails, da sie zusätzliche Bearbeitungszeit und Interaktionen vor der Zustellung benötigen.
Abgesehen von den negativen Auswirkungen auf die Produktivität, können bestimmte E-Mail-Sicherheitsbedrohungen die Sandbox-Erkennung umgehen.

Im Fall von Snake Keylogger wurden diese beiden Methoden angewendet:

Eine aktionsverzögerte Ausführung: Wenn Hacker sicherstellen möchten, dass ihre Malware nicht in einer Sandbox-Umgebung ausgeführt wird, wartet die Malware auf die Interaktion eines Endbenutzers. Ob ein Mausklick, Eingaben über Tastatur oder das Öffnen einer bestimmten Anwendung – die Optionen sind annähernd grenzenlos. Ohne eine solche Benutzeraktion können herkömmliche Sandbox-Lösungen Angriffe durch intelligente Malware nicht erkennen.
Trojaner & Makros: Trojaner sind fast so alt wie das antike Griechenland. Antiviren- und Sandbox-Lösungen erkennen die meisten Trojaner deshalb ziemlich akkurat. Erkennungsbasierte Lösungen schlagen in der Regel fehl, sobald die Malware sich in Makros bei Microsoft Office-Dokumenten versteckt. Der einzige Nachteil von makrobasierten Angriffen ist, dass sie vom Endbenutzer aktiviert werden müssen, sodass sie häufig von einem Social-Engineering Angriff begleitet oder wie im Fall von Snake Keylogger durch unvorsichtige Empfänger freiwillig geöffnet werden.

Was wirklich hilft: Die Zero-Trust Philosophie

Der Zero-Trust-Sicherheitsansatz basiert auf dem Grundsatz, keinem Endgerät, keiner Datei, keinem Dienst und keinem Anwender in- und außerhalb des eigenen Netzwerks zu vertrauen. Da E-Mail Angriffe besonders häufig vorkommen, sollten Sie u.a. bei E-Mail-Anhängen äußerst misstrauisch sein. Anhänge grundsätzlich zu blockieren, ist aber auch keine Lösung. Antiviren- und Sandbox-Lösungen erkennen intelligente Angriffe nicht in jedem Fall. Wie wir beim Snake Keylogger Angriff gesehen haben, ist die Verwendung eines ausschließlich erkennungsbasierten Schutzes ein nicht ausreichender Ansatz. Stattdessen sollten Unternehmen eine proaktive Lösung verfolgen, die grundsätzlich alle angehängten Dateien als bösartig einstuft und diese in Echtzeit mittels bspw. Datei-Desinfektion bereinigt. Die Datei-Desinfektion übernimmt die Zero-Trust Philosophie zu 100 %, denn sie geht davon aus, dass jede Datei, in die sich Malware einbetten kann, auch Schadcode enthält und desinfiziert diese Daten. Riskante Dateiformate (Dateien in die sich Malware, z. B. in Form von Makros einbetten kann) werden daher in sichere Dateitypen umgewandelt und damit die enthaltenen Risiken sozusagen desinfiziert, ohne die Funktion der Datei zu beeinflussen. Solche bereinigten Anhänge können sofort an den Benutzer geliefert werden, wodurch die Produktivität Ihres Unternehmens nicht beeinträchtigt wird, während im Hintergrund Zeit für weitere erkennungsbasierte (oder dynamische) Analysen bleibt.

Fazit: Informieren Sie bitte Ihre Mitarbeitenden über die neue Phishing Methode. Technisch setzt die Datei-Desinfektion den Zero-Trust Sicherheitsansatz «Traue keinem!» perfekt um. Fehlt, wie bei Zero-Day Malware, die Signatur neuer Malware in der Datenbank der Antivirenlösung, gehört die Datei-Desinfektion zu den letzten Verteidigungslinien. Bei der Datei-Desinfektion werden Dateielemente fragmentiert, die Restrisiken identifiziert und anschließend eliminiert. Möchte man den Angriffsvektor E-Mail möglichst umfangreich absichern, kann MetaDefender E-Mail Gateway Security die geeignete Lösung sein. E-Mail Gateway Security integriert sich in den E-Mail Datenstrom und analysiert über die Funktionen Anti-Malware Multiscanner, Datei-Desinfektion und DLP Anhänge, Content und integrierte Hyperlinks. Damit auch Keylogger-Malware wie Snake in Zukunft vor der Tür zu Ihrem IT-System und Mail-Account bleibt!

Autro: Robert Korherr, Chefredakteur und Geschäftsführer der ProSoft GmbH