Neuer Verbreitungsweg: PDF schmuggelt verseuchtes Word-Dokument ein
ID: 1983050
Sicherheitsspezialisten haben eine neue Hacker-Kampagne entdeckt, bei der mit der Keylogger-Malware Snake verseuchte Word-Dokumenteüber PDF-Anhänge eingeschmuggelt werden sollen.
?
Nun haben sich die Kriminellen allerdings etwas Neues einfallen lassen, um ihre Malware zu verbreiten: Sie nutzen das bisher weitgehend unverdächtige PDF-Format, um auf die Rechner ihrer Opfer zu gelangen. Das schildern Sicherheitsforscher von HP Wolf Security in einem neuen Bericht. Darin zeigen sie, wie PDFs als Vehikel genutzt werden, um Dokumente mit gefährlichen Makros einzuschleusen, die dann die Keylogger-Malware Snake im Hintergrund herunterladen und auf den Rechnern ihrer Opfer installieren.
?
Im aktuellen Fall erhalten die Opfer per E-Mail ein PDF mit dem Namen „Remittance Invoice“, also ein Hinweis auf eine Überweisung zu einer Rechnung. Wenn das PDF geöffnet wird, fordert der Adobe Reader das potenzielle Opfer dazu auf, eine .docx-Datei zu öffnen. Dieser Vorgang ist bereits sehr ungewöhnlich und sollte den Nutzer misstrauisch machen. Doch an dieser Stelle sind die Kriminellen sehr kreativ geworden, um das Opfer in Sicherheit zu wiegen. Sie haben dem Word-Dokument nämlich den Namen „has been verified“, also „wurde verifiziert“, gegeben. Das Pop-up-Fenster beim Öffnen liest sich daher „The file ‚has been verified‘“, was das Opfer ganz offensichtlich dazu verleiten soll, der Datei zu vertrauen. Immerhin sieht es so aus, als hätte Adobe die Datei verifiziert und als sicher eingestuft.
?
Die Sicherheitsexperten betonen zwar, dass es Mittel und Wege gibt, eingebettete Dateien in PDFs mithilfe von Parsern und Skripten zu untersuchen, doch normale Benutzer, die diese kniffligen E-Mails erhalten, würden diese Maßnahmen wohl eher nicht ergreifen. Daher dürften viele Nutzer das .docx in Microsoft Word öffnen. Wenn nun auch noch Makros aktiviert sind, lädt das verseuchte Dokument eine RTF-Datei (Rich Text Format) von einer Remote-Ressource herunter. Diese trägt den Namen „f_document_shp.doc“ und enthält fehlerhafte OLE-Objekte, die sich wahrscheinlich der Analyse entziehen. OLE steht dabei für Object Linking and Embedding und bezeichnet ein Microsoft-Objektsystem und Protokoll, das die Zusammenarbeit unterschiedlicher Applikationen ermöglicht.
?
Nach einigen gezielten Rekonstruktionen stellten die Analysten von HP fest, dass die Kriminellen versuchen, eine alte Microsoft-Equation-Editor-Schwachstelle zu missbrauchen, um beliebigen Code auszuführen. Dabei handelt es sich um CVE-2017-11882, die einen Fehler bei der Remotecodeausführung im Formeleditor ausnutzt. Ein Patch wurde bereits im November 2017 ausgeliefert, doch dieser scheint noch längst nicht überall eingespielt worden zu sein, denn die Sicherheitslücke wird immer noch in freier Wildbahn ausgenutzt.
?
Bereits bei ihrer Entdeckung erregte CVE-2017-11882 die Aufmerksamkeit von kriminellen Hackern und da die Nutzer das veröffentlichte Sicherheitsupdate nur langsam einspielten, wurde sie zu einer der am häufigsten ausgenutzten Schwachstellen im Jahr 2018.
?
In der aktuellen Kampagne lädt der Shellcode im RTF den Snake Keylogger herunter und führt ihn aus. Snake ist ein modularer, überaus widerstandsfähiger Info-Stealer, der die Abwehr vieler Systeme umgeht und sich Zugriff auf Anmeldeinformationen und Daten verschafft.
?
Der Fall zeigt, dass auch vermeintlich sichere Datei-Formate eine Gefahrenquelle darstellen können. Nutzer sollten daher bei Datei-Anhängen aus unsicheren Quellen immer Vorsicht walten lassen und Makros grundsätzlich deaktivieren.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Datum: 25.05.2022 - 14:25 Uhr
Sprache: Deutsch
News-ID 1983050
Anzahl Zeichen: 5357
Kontakt-Informationen:
Ansprechpartner: Felicitas KrausEva-Maria Nachtigall
Stadt:
Neustadt an der Weinstraße
Telefon: +49 (30) 30308089-14+49 (6321) 48446-0
Kategorie:
Internet-Portale
Diese Pressemitteilung wurde bisher 275 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Neuer Verbreitungsweg: PDF schmuggelt verseuchtes Word-Dokument ein"
steht unter der journalistisch-redaktionellen Verantwortung von
8com GmbH&Co. KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Wann immer man ein neues Passwort anlegen muss, steht man vor einer schwierigen Entscheidung: Etwas nehmen, das man sich auch merken kann oder ein sicheres Passwort generieren lassen, das man sich wahrscheinlich nicht merken kann. Abhilfe versprechen cloud-basierte Passwortmanager. Sie gelten gemein
Kritische Sicherheitslücke im Microsoft Configuration Manager: CISA warnt vor aktiver Ausnutzung ...
Die US-Cybersicherheitsbehörde CISA hat eine Warnung bezüglich einer kritischen Schwachstelle im Microsoft Configuration Manager (ehemals SCCM) herausgegeben. Diese als CVE-2024-43468 identifizierte Sicherheitslücke ermöglicht es Angreifern, durch das Einschleusen von bösartigen SQL-Befehlen au
Der Preis der Bequemlichkeit: Musikstreaming zwischen Massenmarkt und dem Ruf nach finanzieller Fairness ...
Die Art und Weise, wie die Gesellschaft Musik konsumiert, hat sich in der letzten Dekade radikal gewandelt. Was früher mühsam auf CDs gesammelt oder aus dem Radio aufgenommen wurde, steht heute per Knopfdruck in millionenfacher Ausführung zur Verfügung. Doch während die Nutzer von der grenzenlo
Weitere Mitteilungen von 8com GmbH&Co. KG
Die GlobalConnect Group setzte ihren Wachstumskurs im Jahr 2021 fort, während sie in neue Märkte expandierte und die Abläufe im gesamten Unternehmen ...
GlobalConnect setzte die Dynamik des FTTH-Ausbaus (Fiber-to-the-Home) fort und verzeichnete im Jahr 2021 einen erhöhten Bedarf an Konnektivitätslösungen bei Unternehmen und öffentlichen Einrichtungen. Der Umsatz der Gruppe belief sich im Jahr 2021 auf 609 Millionen Euro, was einem organischen An
Syntax gewinnt SAP Pinnacle Award ...
Weinheim, 24. Mai 2022 - Syntax, global agierender IT-Dienstleister und Managed Cloud Provider, gehört zu den Gewinnern der diesjährigen Pinnacle Awards - in der Kategorie "Rising Star". Der renommierte Preis ehrt SAP- Partner, die sich durch besonders gute Leistungen, Teamarbeit, Kompet
FHIR-Standard: SAS und Microsoft sorgen für mehr Interoperabilität im Gesundheitswesen ...
Heidelberg, 24. Mai 2022 - SAS, einer der weltweit führenden Anbieter von Lösungen für Analytics und künstliche Intelligenz (KI), und Microsoft integrieren ihre Technologien für mehr und bessere Analytics im Healthcare- und Pharmabereich (https://www.sas.com/de_de/insights/health-analytics.html
Einladung: Meetup der Joomla User Group Karlsruhe am 31. Mai 2022 ...
Joomla-Nutzer und Web-Entwickler sind herzlich eingeladen zu einem abwechslungsreichen Abend mit Gleichgesinnten. Wir treffen uns im Herzen von Karlsruhe bei der Digitalagentur formativ.net, Erbprinzenstraße 29a (1. OG). Start des ersten Meetups der Joomla User Group (JUG) Karlsruhe nach der „Cor
