Startseite Themen Brennpunkt INNOVATIONSPREIS-IT IT-Bestenliste INDUSTRIEPREIS INDUSTRIE-Bestenliste TrafficGenerator
Initiative Mittelstand
Logo Aktiv-Verzeichnis
INNOVATIONSPREIS-IT 2017

Drucken
Mittelstandspresse

25.05.2022

Neuer Verbreitungsweg: PDF schmuggelt verseuchtes Word-Dokument ein

Sicherheitsspezialisten haben eine neue Hacker-Kampagne entdeckt, bei der mit der Keylogger-Malware Snake verseuchte Word-Dokumente über PDF-Anhänge eingeschmuggelt werden sollen.

Neustadt an der Weinstraße, 25.05.2022 (PresseBox) - Die Tatsache, dass Word- und Excel-Dokumente aus unbekannten Quellen ein Sicherheitsrisiko darstellen, ist mittlerweile hinreichend bekannt – und die meisten Internet-Nutzer reagieren auf derartige E-Mails und Dateien mit der entsprechenden Vorsicht. Insbesondere die Verwendung von Makros lässt die Alarmglocken schrillen und so sind Kampagnen zur Verbreitung von Malware, die auf .doc- oder .xls-Dateien setzen, mittlerweile weit weniger erfolgreich als noch vor ein paar Jahren.

Nun haben sich die Kriminellen allerdings etwas Neues einfallen lassen, um ihre Malware zu verbreiten: Sie nutzen das bisher weitgehend unverdächtige PDF-Format, um auf die Rechner ihrer Opfer zu gelangen. Das schildern Sicherheitsforscher von HP Wolf Security in einem neuen Bericht. Darin zeigen sie, wie PDFs als Vehikel genutzt werden, um Dokumente mit gefährlichen Makros einzuschleusen, die dann die Keylogger-Malware Snake im Hintergrund herunterladen und auf den Rechnern ihrer Opfer installieren.

Im aktuellen Fall erhalten die Opfer per E-Mail ein PDF mit dem Namen „Remittance Invoice“, also ein Hinweis auf eine Überweisung zu einer Rechnung. Wenn das PDF geöffnet wird, fordert der Adobe Reader das potenzielle Opfer dazu auf, eine .docx-Datei zu öffnen. Dieser Vorgang ist bereits sehr ungewöhnlich und sollte den Nutzer misstrauisch machen. Doch an dieser Stelle sind die Kriminellen sehr kreativ geworden, um das Opfer in Sicherheit zu wiegen. Sie haben dem Word-Dokument nämlich den Namen „has been verified“, also „wurde verifiziert“, gegeben. Das Pop-up-Fenster beim Öffnen liest sich daher „The file ‚has been verified‘“, was das Opfer ganz offensichtlich dazu verleiten soll, der Datei zu vertrauen. Immerhin sieht es so aus, als hätte Adobe die Datei verifiziert und als sicher eingestuft.

Die Sicherheitsexperten betonen zwar, dass es Mittel und Wege gibt, eingebettete Dateien in PDFs mithilfe von Parsern und Skripten zu untersuchen, doch normale Benutzer, die diese kniffligen E-Mails erhalten, würden diese Maßnahmen wohl eher nicht ergreifen. Daher dürften viele Nutzer das .docx in Microsoft Word öffnen. Wenn nun auch noch Makros aktiviert sind, lädt das verseuchte Dokument eine RTF-Datei (Rich Text Format) von einer Remote-Ressource herunter. Diese trägt den Namen „f_document_shp.doc“ und enthält fehlerhafte OLE-Objekte, die sich wahrscheinlich der Analyse entziehen. OLE steht dabei für Object Linking and Embedding und bezeichnet ein Microsoft-Objektsystem und Protokoll, das die Zusammenarbeit unterschiedlicher Applikationen ermöglicht.

Nach einigen gezielten Rekonstruktionen stellten die Analysten von HP fest, dass die Kriminellen versuchen, eine alte Microsoft-Equation-Editor-Schwachstelle zu missbrauchen, um beliebigen Code auszuführen. Dabei handelt es sich um CVE-2017-11882, die einen Fehler bei der Remotecodeausführung im Formeleditor ausnutzt. Ein Patch wurde bereits im November 2017 ausgeliefert, doch dieser scheint noch längst nicht überall eingespielt worden zu sein, denn die Sicherheitslücke wird immer noch in freier Wildbahn ausgenutzt.

Bereits bei ihrer Entdeckung erregte CVE-2017-11882 die Aufmerksamkeit von kriminellen Hackern und da die Nutzer das veröffentlichte Sicherheitsupdate nur langsam einspielten, wurde sie zu einer der am häufigsten ausgenutzten Schwachstellen im Jahr 2018.

In der aktuellen Kampagne lädt der Shellcode im RTF den Snake Keylogger herunter und führt ihn aus. Snake ist ein modularer, überaus widerstandsfähiger Info-Stealer, der die Abwehr vieler Systeme umgeht und sich Zugriff auf Anmeldeinformationen und Daten verschafft.

Der Fall zeigt, dass auch vermeintlich sichere Datei-Formate eine Gefahrenquelle darstellen können. Nutzer sollten daher bei Datei-Anhängen aus unsicheren Quellen immer Vorsicht walten lassen und Makros grundsätzlich deaktivieren.

Ansprechpartner

Felicitas Kraus
+49 (30) 30308089-14
Zuständigkeitsbereich: Pressereferentin

Eva-Maria Nachtigall
+49 (6321) 48446-0
Zuständigkeitsbereich: Leiterin Kommunikation & Medien

Über 8com GmbH & Co. KG:

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.