IDG
Der Safety-Anbieter Malwarebytes hat kürzlich vor einer besonders perfiden Phishing-Kampagne gewarnt. Die Angreifer tarnen dabei ihre Malware als gewöhnliches PDF-Dokument. Mitarbeiter sind es gewohnt, Bestellungen oder Rechnungen im PDF-Format zu erhalten. Daher ist es sehr wahrscheinlich, dass die schädlichen Dateien geöffnet werden.
Klickt ein Mitarbeiter auf die Datei, wird ein Distant-Entry-Trojaner namens AsyncRAT ausgeführt. Auf diese Weise können die Angreifer die Kontrolle über die Firmenrechner übernehmen.
Die Phishing-E-Mails enthalten jedoch keine direkten Dokumentenanhänge, sondern Hyperlinks zu einer Datei im IPFS (InterPlanetary File System). Dabei handelt es sich um ein dezentrales Speichernetzwerk, das zunehmend von Cyberkriminellen genutzt wird. Der Zugriff erfolgt über gängige Net-Gateways.
Die Datei der Angreifer ist eine virtuelle Festplatte, die beim Öffnen als lokales Laufwerk eingebunden wird und so einige Home windows-Sicherheitsfunktionen umgeht. Im Inneren der Datei befindet sich eine Home windows-Skriptdatei (WSF), die vorgibt, die erwartete PDF-Datei zu sein. Beim Öffnen führt Home windows den darin enthaltenen Code aus, was den Angriff von außen ermöglicht.
Zum Schutz vor solchen Angriffen sollten Organisationen Home windows so konfigurieren, dass Dateierweiterungen angezeigt werden, rät Malwarebytes Labs in einem Blogbeitrag. (jm)
