IDG
Der Security-Anbieter Malwarebytes hat kürzlich vor einer besonders perfiden Phishing-Kampagne gewarnt. Die Angreifer tarnen dabei ihre Malware als gewöhnliches PDF-Dokument. Mitarbeiter sind es gewohnt, Bestellungen oder Rechnungen im PDF-Format zu erhalten. Daher ist es sehr wahrscheinlich, dass die schädlichen Dateien geöffnet werden.
Klickt ein Mitarbeiter auf die Datei, wird ein Remote-Access-Trojaner namens AsyncRAT ausgeführt. Auf diese Weise können die Angreifer die Kontrolle über die Firmenrechner übernehmen.
Die Phishing-E-Mails enthalten jedoch keine direkten Dokumentenanhänge, sondern Links zu einer Datei im IPFS (InterPlanetary File System). Dabei handelt es sich um ein dezentrales Speichernetzwerk, das zunehmend von Cyberkriminellen genutzt wird. Der Zugriff erfolgt über gängige Web-Gateways.
Die Datei der Angreifer ist eine virtuelle Festplatte, die beim Öffnen als lokales Laufwerk eingebunden wird und so einige Windows-Sicherheitsfunktionen umgeht. Im Inneren der Datei befindet sich eine Windows-Skriptdatei (WSF), die vorgibt, die erwartete PDF-Datei zu sein. Beim Öffnen führt Windows den darin enthaltenen Code aus, was den Angriff von außen ermöglicht.
Zum Schutz vor solchen Angriffen sollten Organisationen Windows so konfigurieren, dass Dateierweiterungen angezeigt werden, rät Malwarebytes Labs in einem Blogbeitrag. (jm)