Neu entdeckter Bug in Microsoft Word ermöglicht Angreifern, die Erkennung zu umgehen und Kontrolle über kompromittierte Systeme zu erlangen
Das Mimecast Threat Center warnt vor einer neuen Art von servergesteuerten HTML (SHTML)-basierten Phishing-Angriffen. Seit April 2019 untersuchen die Forscher die Kampagne, die ihren Ursprung in Großbritannien hat.
Wenn Benutzer Anhänge der im Rahmen dieser Phishing-Kampagne versendete E-Mails öffnen, werden sie sofort an eine bösartige Website weitergeleitet. Dort finden Zahlungsaufforderungen statt, bei denen die Opfer ihre Nutzerdaten preisgeben sollen.
55 Prozent dieser Attacken wurden in Großbritannien registriert, 31 Prozent in Australien, elf Prozent in Südafrika und drei Prozent verteilen sich auf die restlichen Länder weltweit. In Großbritannien und Südafrika wird vor allem der Finanzsektor angesprochen, während in Australien Bildungseinrichtungen verstärkt ins Visier geraten.
„Kriminelle sind gewillt, neue Kampagnen auf die Beine zu stellen, weil sie wissen, dass sie damit Erfolg haben. Dieses scheinbar harmlose Attachment, das ahnungslose Benutzer auf eine bösartige Website umleitet, ist keine besonders ausgereifte Technik – es funktioniert aber trotzdem. Unternehmen müssen hier die richtigen Schlüsse ziehen,“ sagt Tomasz Kojm, Senior Engineering Manager bei Mimecast. „Es gibt zwei wichtige Schritte: Zunächst geht es um die passende Sicherheitstechnologie, die dem Stand der Technik entsprechen muss. Es gibt eine Menge vorhandene Threat Intelligence, die in die Mechanismen eingebaut werden sollte – nur so lässt sich die Bedrohung eindämmen. Danach ist es aber genauso wichtig auf die Mitarbeiter einzugehen. Kein Filter ist perfekt und es kann passieren, dass schadhafte Mails trotzdem zu den Usern gelangen. Daher sind Schulungen so wichtig. Damit ist aber kein jährliches Box-Ticking-Quiz gemeint, sondern es muss ein regelmäßiger Fortbildungsprozess etabliert werden, der dazu noch das Interesse der Belegschaft weckt. Mitarbeiter sind die letzte Verteidigungslinie gegen diese Bedrohungen und müssen entsprechend auf der Hut sein“.
Die SHTML-Seite enthät einen JS-Code mit einer getarnten Phishing-Seite, der von Webbrowsern automatisch geöffnet wird, sobald der Benutzer auf diese Datei klickt. Die Verschleierung macht es für Inhaltsanalysatoren viel schwieriger, die URLs zu finden und zu überprüfen, da sie in einen base64-String kodiert werden. Der andere Trick der Cyberkriminellen ist der Einsatz der Erweiterung .shtml, die nicht sehr verbreitet ist und hauptsächlich für HTML-Dateien mit serverseitigen Includes verwendet wird; sowohl Windows- als auch macOS-Geräte können solche SHTML-Element über die gängigen Webbrowser öffnen.
Dieser Phishing-Angriff ist insofern einzigartig, da er SHTML-Dateianhänge verwendet, die sonst typischerweise für Webserver verwendet werden. Innerhalb des Dateiinhalts wurde der JavaScript-Code entdeckt.
www.mimecast.com
e-Book: Threat Intelligence: Far-fetched Idea or Must Have Security Tactic?, Cyber Resilience Think Tank
https://www.mimecast.com/globalassets/documents/ebook/threat-intelligence-ebook.pdf
Fachartikel

Massives Datenleck: 200 Milliarden Dateien in Cloud-Speichern öffentlich zugänglich

Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife

Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal

Was machen Hacker mit ihrem gestohlenen Geld? Die Antwort überrascht

Dateilose Attacke: PowerShell-Loader schleust Remcos RAT ein
Studien

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart

IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran

Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper

TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor

Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen

Wie die Datenverwaltung Wachstum und Compliance fördert

Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025

Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier
Hamsterrad-Rebell

Insider – die verdrängte Gefahr

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
