Neue Angriffsmethode missbraucht die Word-Wiederherstellung

Eine neuartige Phishing-Kampagne nutzt korrupte Word-Dokumente, um Sicherheitsmaßnahmen zu umgehen. Die Angreifer setzen dabei auf die Gutgläubigkeit der Nutzer und die integrierte Wiederherstellungs­funktion von Microsoft Word.

Gutgläubigkeit wird zum Sicherheitsrisiko

In der sich ständig weiterentwickelnden Welt der Cyberkriminalität ist mal wieder eine neue Phishing-Methode aufgetaucht. Angreifer nutzen dabei gezielt korrupte Word-Dokumente, um die Sicherheitsvorkehrungen von Unternehmen und Privatpersonen zu umgehen. Diese Taktik stellt eine neue Art der Bedrohung dar, da sie die Schwachstellen in gängigen Sicherheitssystemen ausnutzt - gleichzeitig setzt sie aber wie so oft die Gutgläubigkeit der Nutzer voraus.

Die Funktionsweise dieser Angriffe ist ebenso simpel wie effektiv. Die Cyber­kriminellen versenden E-Mails mit beschädigten Word-Dokumenten als Anhang. Diese Dokumente sind so präpariert, dass sie von den meisten Antivirenprogrammen und E-Mail-Filtern nicht als Bedrohung erkannt werden. Wenn der ahnungslose Empfänger versucht, das Dokument zu öffnen, meldet Microsoft Word, dass der Inhalt nicht lesbar ist und bietet an, ihn wiederherzustellen. Der Anfang: eine Phishing-E-Mail. Quelle: BleepingComputer Wie Bleeping Computer berichtet, nutzen die Angreifer gezielt die Wieder­herstellungs­funktion von Microsoft Word aus. Sobald der Nutzer der Wieder­herstellung zustimmt, wird der schädliche Inhalt aktiviert. Die wieder­hergestellten Dokumente enthalten oft außerdem QR-Codes, die zu gefälschten Login-Seiten führen und darauf abzielen, sensible Daten wie Benutzernamen und Passwörter zu stehlen.

Dabei werden die korrupten Dateien von den meisten Sicherheits­lösungen nicht erkannt. Bei Tests auf der Plattform VirusTotal wurden fast alle diese Anhänge mit null Erkennungen bewertet oder als "Item Not Found" eingestuft, da sie nicht richtig analysiert werden konnten. Dies unterstreicht die Raffinesse dieser neuen Angriffsmethode und die Herausforderungen, die sie für herkömmliche Sicherheitsmaßnahmen darstellt. So reagiert Word auf die Dateien. Quelle: BleepingComputer Die Kampagne zielt vorwiegend auf Unternehmen ab und tarnt sich als Kom­mu­ni­ka­tion von Personalabteilungen. Die E-Mails locken mit Themen wie Jahresboni oder Gehaltserhöhungen - Inhalte, die für viele Mitarbeiter von großem Interesse sind und sie dazu verleiten können, ihre übliche Vorsicht außer Acht zu lassen. Genau hier muss aber gesagt sein: ohne die Mithilfe der etwas zu vertrauens­vollen Opfer funktioniert auch diese neue Masche nicht.

Einige der von den Angreifern genutzten Dateinamen:

Technische Hintergründe des Angriffs

Um die Funktionsweise dieser Angriffe besser zu verstehen, ist es wichtig, einen Blick auf die technischen Details zu werfen. Die Angreifer nutzen eine spezielle Methode der Dateikorruption, bei der die Struktur des Word-Dokuments gezielt so verändert wird, dass es für Antivirenprogramme unlesbar wird, aber von Microsoft Word noch wiederhergestellt werden kann.

Ein interessantes technisches Detail ist die Verwendung eines Base64-codierten Strings in den Dateinamen der Anhänge. Dieser String "IyNURVhUTlVNUkFORE9NNDUjIw" entschlüsselt sich zu "##TEXTNUMRANDOM45##", was mög­li­cher­wei­se als Identifikator oder Teil des Angriffsmechanismus dient. Die Verwendung von Base64-Codierung ist eine gängige Methode, um Daten zu verschleiern und die Erkennung durch Sicherheitssysteme zu erschweren.

Die Effizienz dieser Methode liegt in ihrer Einfachheit. Antivirenprogramme und E-Mail-Filter sind darauf ausgelegt, bekannte Muster von Schadsoftware zu erkennen. Durch die Beschädigung der Dateien werden diese Muster verschleiert, während die eigentliche Funktionalität des Dokuments erhalten bleibt. Dies stellt eine erhebliche Herausforderung für herkömmliche Sicherheitsmaßnahmen dar, die oft auf Signaturen oder bekannte Verhaltensweisen von Malware angewiesen sind.

Ein weiterer wichtiger Aspekt dieser Angriffsmethode ist die Ausnutzung der menschlichen Psychologie. Die Angreifer setzen darauf, dass Nutzer, die mit einer Fehlermeldung konfrontiert werden, instinktiv versuchen werden, das Problem zu beheben - in diesem Fall durch die Zustimmung zur Wiederherstellung des Dokuments. Diese Kombination aus technischer Raffinesse und psychologischer Manipulation macht die Kampagne besonders gefährlich.

Schutzmaßnahmen und Prävention

Angesichts dieser neuen Bedrohung ist es wichtig, dass Unternehmen und Einzelpersonen ihre Sicherheitsmaßnahmen überdenken. Eine effektive Strategie könnte die Implementierung von Sicherheitsrichtlinien sein, die das automatische Öffnen von Anhängen aus unbekannten Quellen verbieten. Zusätzlich sollten Mitarbeiter regelmäßig in Bezug auf aktuelle Phishing-Techniken geschult werden.

Technische Lösungen wie erweiterte E-Mail-Filtermechanismen, die verdächtige Anhänge in einer Sandbox-Umgebung analysieren, können ebenfalls helfen, solche Angriffe frühzeitig zu erkennen. Ferner sollten Unternehmen in Erwägung ziehen, den Einsatz von Dokumenten-Viewer-Programmen zu fördern, die keine aktiven Inhalte ausführen können.

Was haltet ihr von dieser neuen Phishing-Methode? Habt ihr Ideen, wie sich Unternehmen und Privatpersonen besser schützen können? Teilt eure Gedanken und Erfahrungen in den Kommentaren!


Siehe auch: