Phishing: Angreifer umgehen Virenscan mittels beschädigter Word-Dokumente
Sicherheitsforscher sind auf eine neue Methode gestoßen, wie Cyberkriminelle präparierte Dokumente am Virenschutz vorbeischieben.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
E-Mails mit bösartigem Anhang sind nach wie vor weitverbreitet für Attacken auf PCs. Oft dienen Word-Dokumente als Träger für etwa Erpressungstrojaner. Nun haben Sicherheitsforscher eine neue Methode dokumentiert, mit der Angreifer Virenscanner austricksen.
Virenscanner umgangen
Wie Forscher von ANY.RUN in einer Kurzanalyse auf X erläutern, sind sie auf von Angreifern absichtlich beschädigte Word-Dokumente gestoßen, die sie als Köder für Phishing-Attacken an E-Mails hängen. Wei die Dateien kaputt sind, fällt es bestimmter Antivirenschutzsoftware, sowie Outlooks Spamfilter schwer, den Dateityp zu erkennen. Demzufolge springen die Schutzmechanismen nicht an und so eine Mail landet ohne Warnung im Posteingang.
Die Forscher geben an, dass sie entsprechende Dateien zum Onlineanalysedienst Virustotal hochgeladen haben. Ihnen zufolge hat keiner der dort verfĂĽgbaren mehr als 60 Scanner Alarm geschlagen.
Phishingopfer
Im Zuge dieser Kampagne sollen die unbekannten Angreifer die Mails im Namen von Personalabteilungen mit einer Betreffszeile zu Bonuszahlungen verschicken. Fällt ein Opfer darauf rein und öffnet die präparierte Datei, bietet Word an, das Dokument zu reparieren. Weil die Angreifer nur den Header an einer bestimmten Stelle minimal verändert haben, kann Word das Dokument wiederherstellen und öffnen.
Darin befindet sich ein QR-Code, den Opfer für den Erhalt eines weiteren Dokuments scannen sollen. Wer sich darauf einlässt, landet auf einer Phishing-Website, die Log-in-Daten von Microsoft abgreift.
In welchem Umfang die Phishing-Kampagne läuft, ist derzeit unbekannt. Generell gilt, dass man vor allem bei unbekannten Absendern keine Dateianhänge öffnen sollte.
(des)
