Prae_Studio – shutterstock.com
Forscher des Sicherheitsunternehmens Varonis haben eine raffinierte Phishing-Methode entdeckt, die auf Gmail-Nutzer zielt. Dabei kommt eine Malware zum Einsatz, die sich nicht nur als PDF-Anhang tarnt, sondern die Opfer automatisch dazu auffordert, diesen zu öffnen.
„Der Dateityp .PDF ist im privaten und geschäftlichen Bereich allgegenwärtig geworden“, erklärt Erik Avakian, technischer Berater bei der Data-Tech Analysis Group. „Das schafft Vertrauen. Die Leute sehen eine PDF-Datei und gehen davon aus, dass sie sicher ist. Sie löst auch nicht die gleichen Alarmglocken aus wie andere Dateitypen, beispielsweise .exe oder .zip.“
So funktioniert der Angriff
Die Angreifer haben ein Toolkit namens MatrixPDF entwickelt, das Phishing- und Malware-Funktionen in einem Builder bündelt. Es bettet gefälschte Eingabeaufforderungen, JavaScript-Aktionen und automatische Weiterleitungen in scheinbar legitime PDF-Dateien ein.
Kriminelle Akteure können dabei den externen Hyperlink festlegen, zu dem die PDF-Datei weiterleitet. Zudem ermöglicht es MatrixPDF, Dokumente so zu ändern, dass sie überzeugend wirken. Zum Beispiel durch Einfügen eines Vorhängeschloss-Symbols oder eines Firmenlogos. Das Toolkit kann aber auch dazu verwendet werden, um den Inhalt des Dokuments zu verbergen.
Die Forscher von Varonis haben zwei Möglichkeiten identifiziert, wie Angreifer MatrixPDF einsetzen: Im ersten Fall nutzen sie die Vorschaufunktion von Gmail aus. Die von ihnen erstellte PDF-Datei kann Sicherheitsvorkehrungen und Filter umgehen, da sie nur Skripte und einen externen Hyperlink enthält, aber keinen Commonplace-URL-Hyperlink, der normalerweise mit Malware in Verbindung gebracht wird.
Die PDF-Datei wird regular gerendert, aber der Textual content des Dokuments ist unscharf, und die Benutzer erhalten eine Aufforderung zum „Öffnen des sicheren Dokuments”, die im Wesentlichen ein Phishing-Köder ist. Wenn das Opfer auf die Schaltfläche klickt, öffnet sich eine externe Web site in seinem Browser. Die Forscher fanden sogar ein Beispiel, bei dem der eingebettete Hyperlink zu einem Obtain für einen legitimen SSH-Shopper auf einer öffentlichen Web site führte.
Angreifer umgehen Gmail-Sicherheitsfunktion
„Die Methode umgeht die Sicherheitsvorkehrungen von Gmail, da die Malware-Prüfung nichts ‚Verdächtiges‘ findet“, erklären die Forscher. Der schädliche Inhalt wird nur abgerufen, wenn der Benutzer aktiv darauf klickt, was Gmail als von diesem initiiert und daher als ungefährlich interpretiert. Außerdem erfolgt der Datei-Obtain außerhalb der Antiviren-Sandbox der E-Mail-Plattform, sodass Sicherheitsfilter nicht eingreifen können.
Die zweite MatrixPDF-Methode verwendet in PDF eingebettetes JavaScript. Das Opfer lädt die PDF-Datei herunter oder öffnet sie in einem Desktop-Reader (wie Adobe Acrobat) oder einem Browser-nativen Viewer und führt das Skript aus. Die PDF-Datei verbindet sich dann automatisch mit der Payload-URL und ruft eine Datei ab.
„In der Regel zeigen PDF-Reader eine Sicherheitswarnung an, die den Benutzer darauf hinweist, dass ein Dokument versucht, auf eine externe Ressource zuzugreifen“, so die Safety-Spezialisten. Bei dieser Methode wird das PDF jedoch so konfiguriert, dass es eine kurze URL aufruft, die „vage legitim“ erscheint.
Das Opfer erhält daraufhin ein Popup mit einer Zugriffsanfrage. Klickt der Nutzer auf „Zulassen“, ruft das Skript den schädliche Workload ab und ´startet den Obtain; das Dokument wird dann auf dem Gerät des Benutzers gespeichert und die Malware ausgeführt.
„Diese Methode ist erfolgreich, da der Benutzer keinen Hyperlink anklicken muss. Sie setzt jedoch darauf, dass der Benutzer die Berechtigung zum Zugriff erteilt“, heißt es im Forschungsbericht.
„Als Waffe eingesetzte PDF-Dateien in Phishing-E-Mails sind seit langem ein Drawback“, mahnt David Shipley von Beauceron Safety. „Dieses Device macht es Cyberkriminellen kinderleicht, solche Dateien zu erstellen.“
Nutzung privater E-Mails erhöht das Risiko für Unternehmen
Mitarbeiter greifen zunehmend von Firmen-PCs aus auf non-public E-Mail-Konten zu, insbesondere in hybriden und Distant-Arbeitsumgebungen. Angesichts der Tatsache, dass Hacker Zugang zu einfach zu bedienenden Instruments wie MatrixPDF haben, raten Experten Unternehmen jedoch zu erhöhter Wachsamkeit.
„CISOs und CIOs sollten Möglichkeiten in Betracht ziehen, entweder den Zugriff auf non-public Webmail-Konten über die Unternehmensinfrastruktur zu beschränken oder festzustellen, wo dies tatsächlich erforderlich ist“, rät Avakian von InfoTech. „Personal E-Mails verfügen einfach nicht über die gleichen Sicherheitsvorkehrungen wie E-Mail-Sicherheitsdienste von Unternehmen.“
Ensar Seker, CISO beim Menace-Intelligence-Unternehmen SOCRadar, bezeichnet diesen neuen E-Mail-Angriffsvektor als eine „gefährliche Weiterentwicklung des Social Engineering“. Er fügt hinzu: „Dadurch wird der Endpunkt zum schwächsten Glied in der Kill Chain. Sobald ein einzelnes Gerät kompromittiert ist, kann es zum Dreh- und Angelpunkt für laterale Bewegungen, den Diebstahl von Anmeldedaten oder den ersten Zugriff für die Bereitstellung von Ransomware werden.“
Wie sich Unternehmen wappnen können
Die gute Nachricht ist jedoch laut Shipley von Beauceron, dass Phishing-Angriffe mit Anhängen tendenziell eine geringere Erfolgsquote haben. Das liegt daran, dass sie zusätzliche kognitive Anstrengungen und Schritte seitens des Benutzers erfordern, im Gegensatz zum einfachen Klicken auf einen Hyperlink in einer E-Mail.
„Unternehmen sollten ein Gleichgewicht zwischen Investitionen in E-Mail-Filter und häufigen und effektiven Consciousness-Schulungen finden“, merkte er an. „Letztendlich müssen die Mitarbeiter motiviert werden, wachsam zu bleiben.“
Seker von SOCRadar ergänzt: „CISOs müssen über technische Abwehrmaßnahmen hinausgehen und klare Leitplanken festlegen.Das bedeutet, bekannte schädliche Dateitypen zu blockieren, robuste Sandboxing-Lösungen für Anhänge einzusetzen und Endpunkt-Erkennung zu nutzen, um verdächtiges Dateiverhalten nach der Zustellung zu überwachen.“
Zudem empfiehlt er Unternehmen, Richtlinien durchsetzen, die es Mitarbeitern verbieten, auf Unternehmensgeräten auf non-public E-Mails zuzugreifen. „Die Aufklärung der Mitarbeiter über die Funktionsweise dieser Angriffe ist besonders wichtig in einer Zeit, in der selbst eine harmlos aussehende PDF-Datei die Spitze einer Spear-Phishing-Kampagne sein kann“.
Seker fügte hinzu: „Letztendlich muss eine mehrschichtige Verteidigung nicht nur Zero Belief für Benutzer, sondern auch Zero Assumption für die Dateisicherheit umfassen.“
Avakian von Data-Tech stimmt zu. Angriffe vom Typ MatrixPDF böten eine „fantastische Gelegenheit“, um Sensibilisierungsmaßnahmen und Schulungen mit einfachen Visualisierungen und realistischen „Was-wäre-wenn“-Szenarien zu integrieren. Unternehmen sollten auch eine „Assume Earlier than You Click on“-Kultur fördern und es ihren Mitarbeitern, der ersten Verteidigungslinie, leicht machen, verdächtige E-Mails zu melden.
Ebenso wichtig sei es, dass Unternehmen darauf achten, „Mitarbeiter zu belohnen, die dies richtig machen“.
„Anerkennung hat eine große Wirkung“, so Avakian. „Indem sie Mitarbeiter belohnen, die Phishing-Versuche erkennen und melden, können Sicherheitsverantwortliche das Bewusstsein schrittweise verbessern und eine sicherheitsbewusste Kultur fördern.“ (jm)
