Vorsicht: MalDoc-Schadcode umgeht Windows Malware-Erkennung
Sicherheitsforscher warnen jetzt vor einem neuen Trick von Cyberkriminellen. Dabei wird eine bösartige Word-Datei in ein PDF eingebettet, um der Malware-Erkennung zu umgehen. Damit hat Schadcode freie Fahrt auf dem PC.
Bei der von JPCERT untersuchten Datei handelt es sich um eine polyglotte Datei, die von den meisten Tools als PDF erkannt wird, jedoch von Office-Anwendungen als normales Word-Dokument (.doc) geöffnet werden kann.
Polyglots sind Dateien, die zwei unterschiedliche Dateiformate enthalten, die je nach der Anwendung, die sie öffnet, als mehr als ein Dateityp interpretiert und ausgeführt werden können.
Diese Fähigkeit machen sich die Angreifer zunutze und versenden manipulierte Dateien. Die bösartigen Dateien sind häufig eine Kombination aus PDF- und Word-Dokumenten, die als beide Dateiformate geöffnet werden können.
In diesem Fall enthält das PDF-Dokument ein Word-Dokument mit einem VBS-Makro zum Herunterladen und Installieren einer MSI-Malware-Datei, wenn es als .doc-Datei in Microsoft Office geöffnet wird. Ein Virenscanner "sieht" jedoch nur das PDF und nicht die manipulierte Word-Datei. So gelang Schadcode ungehindert auf den PC - wenn man sich nicht an geltende Sicherheitsmaßen hält, wie zum Beispiel die Makros in Word zu deaktivieren.
Das japanische CERT gab bisher keine Einzelheiten über die Angriffe bekannt und meldete auch nicht, welche Art von Malware bei diesem Vorgang installiert wird. Auch, ob es bereits eine aktive Ausnutzung der Schwachstelle gibt, ist nicht bekannt.
Obwohl die Einbettung eines Dateityps in einen anderen nicht neu ist, da Angreifer häufig zur besseren Verbreitung polyglotte Dateien einsetzen, um die Erkennung zu umgehen, ist die spezifische Technik neu, schreibt das JPCERT. Infografik: Millionenschäden durch Datenlecks
Siehe auch:
MalDoc in PDFs entdeckt
Das japanische Computer Emergency Response Team, kurz JPCERT, informiert über diesen neuartigen "MalDoc in PDF"-Angriff. Entdeckt wurde er bereits im Juli 2023 und dann Ende August der Öffentlichkeit vorgestellt.Bei der von JPCERT untersuchten Datei handelt es sich um eine polyglotte Datei, die von den meisten Tools als PDF erkannt wird, jedoch von Office-Anwendungen als normales Word-Dokument (.doc) geöffnet werden kann.
Polyglots sind Dateien, die zwei unterschiedliche Dateiformate enthalten, die je nach der Anwendung, die sie öffnet, als mehr als ein Dateityp interpretiert und ausgeführt werden können.
Diese Fähigkeit machen sich die Angreifer zunutze und versenden manipulierte Dateien. Die bösartigen Dateien sind häufig eine Kombination aus PDF- und Word-Dokumenten, die als beide Dateiformate geöffnet werden können.
In diesem Fall enthält das PDF-Dokument ein Word-Dokument mit einem VBS-Makro zum Herunterladen und Installieren einer MSI-Malware-Datei, wenn es als .doc-Datei in Microsoft Office geöffnet wird. Ein Virenscanner "sieht" jedoch nur das PDF und nicht die manipulierte Word-Datei. So gelang Schadcode ungehindert auf den PC - wenn man sich nicht an geltende Sicherheitsmaßen hält, wie zum Beispiel die Makros in Word zu deaktivieren.
Das japanische CERT gab bisher keine Einzelheiten über die Angriffe bekannt und meldete auch nicht, welche Art von Malware bei diesem Vorgang installiert wird. Auch, ob es bereits eine aktive Ausnutzung der Schwachstelle gibt, ist nicht bekannt.
Obwohl die Einbettung eines Dateityps in einen anderen nicht neu ist, da Angreifer häufig zur besseren Verbreitung polyglotte Dateien einsetzen, um die Erkennung zu umgehen, ist die spezifische Technik neu, schreibt das JPCERT. Infografik: Millionenschäden durch Datenlecks
Zusammenfassung
- Cyberkriminelle nutzen neuen Trick: bösartige Word-Datei in PDF.
- Japanisches Computer-Emergency-Response-Team berichtet über Angriff
- PDF enthält Word-Dokument mit VBS-Makro zum Installieren von Malware
- Virenscanner erkennt nur PDF, nicht manipulierte Word-Datei
- Noch keine Details zu Angriffen oder Art der installierten Malware
Siehe auch:
Thema:
Beliebte PDF-Downloads
Videos zum Thema PDF
Acrobat Pro 2020 im Preisvergleich
Intertrend 799,90 € 1 Angebote im WinFuture Preisvergleich
Beiträge aus dem Forum
-
die Version 1.2.0 von KillerPDF
d-hubs -
Welcher Prozessor Ram etc für PDF Tech. Zeichnung
koubi -
Acrobat X startet nicht mehr unter Win10
Biedermeyer -
.pdf filtern und löschen
DON666 -
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
PDF Icon / Logo / Symbol ändern von Chrome als PDF Viewer, nur das Ico
Liftboy -
PDF-Datei speichern
Pregos -
Im UZ-Sinn gedrehte PDF-Dokumente speichern
synthhier -
PDF / HTML teilweise ausdrucken
joe13
Weiterführende Links
Neue Nachrichten
- Windows 11 bekommt einen Button zum Entfernen aller KI-Modelle
- Meta macht (ein bisschen) Rückzieher bei Mitarbeiter-Totalüberwachung
- Update für Google Home: Gemini-KI startet nun auch in Deutschland
- Vernichtende Kritik: MMO-Hoffnung Camelot Unchained ein totaler Flop
- Komplett zerstörte Startrampe: Blue Origin hat aggressiven Aufbauplan
- Microsoft Surface Pro 13-Zoll: Das ist das Tablet mit Snapdragon X2 Elite
- Google will Android-Entwickler für Zugang zum App-Code bezahlen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen