Prae_Studio – shutterstock.com
Forscher des Sicherheitsunternehmens Varonis haben eine raffinierte Phishing-Methode entdeckt, die auf Gmail-Nutzer zielt. Dabei kommt eine Malware zum Einsatz, die sich nicht nur als PDF-Anhang tarnt, sondern die Opfer automatisch dazu auffordert, diesen zu öffnen.
„Der Dateityp .PDF ist im privaten und geschäftlichen Bereich allgegenwärtig geworden“, erklärt Erik Avakian, technischer Berater bei der Info-Tech Research Group. „Das schafft Vertrauen. Die Leute sehen eine PDF-Datei und gehen davon aus, dass sie sicher ist. Sie löst auch nicht die gleichen Alarmglocken aus wie andere Dateitypen, beispielsweise .exe oder .zip.“
So funktioniert der Angriff
Die Angreifer haben ein Toolkit namens MatrixPDF entwickelt, das Phishing- und Malware-Funktionen in einem Builder bündelt. Es bettet gefälschte Eingabeaufforderungen, JavaScript-Aktionen und automatische Weiterleitungen in scheinbar legitime PDF-Dateien ein.
Kriminelle Akteure können dabei den externen Link festlegen, zu dem die PDF-Datei weiterleitet. Zudem ermöglicht es MatrixPDF, Dokumente so zu ändern, dass sie überzeugend wirken. Zum Beispiel durch Einfügen eines Vorhängeschloss-Symbols oder eines Firmenlogos. Das Toolkit kann aber auch dazu verwendet werden, um den Inhalt des Dokuments zu verbergen.
Die Forscher von Varonis haben zwei Möglichkeiten identifiziert, wie Angreifer MatrixPDF einsetzen: Im ersten Fall nutzen sie die Vorschaufunktion von Gmail aus. Die von ihnen erstellte PDF-Datei kann Sicherheitsvorkehrungen und Filter umgehen, da sie nur Skripte und einen externen Link enthält, aber keinen Standard-URL-Hyperlink, der normalerweise mit Malware in Verbindung gebracht wird.
Die PDF-Datei wird normal gerendert, aber der Text des Dokuments ist unscharf, und die Benutzer erhalten eine Aufforderung zum „Öffnen des sicheren Dokuments”, die im Wesentlichen ein Phishing-Köder ist. Wenn das Opfer auf die Schaltfläche klickt, öffnet sich eine externe Website in seinem Browser. Die Forscher fanden sogar ein Beispiel, bei dem der eingebettete Link zu einem Download für einen legitimen SSH-Client auf einer öffentlichen Website führte.
Angreifer umgehen Gmail-Sicherheitsfunktion
„Die Methode umgeht die Sicherheitsvorkehrungen von Gmail, da die Malware-Prüfung nichts ‚Verdächtiges‘ findet“, erklären die Forscher. Der schädliche Inhalt wird nur abgerufen, wenn der Benutzer aktiv darauf klickt, was Gmail als von diesem initiiert und daher als ungefährlich interpretiert. Außerdem erfolgt der Datei-Download außerhalb der Antiviren-Sandbox der E-Mail-Plattform, sodass Sicherheitsfilter nicht eingreifen können.
Die zweite MatrixPDF-Methode verwendet in PDF eingebettetes JavaScript. Das Opfer lädt die PDF-Datei herunter oder öffnet sie in einem Desktop-Reader (wie Adobe Acrobat) oder einem Browser-nativen Viewer und führt das Skript aus. Die PDF-Datei verbindet sich dann automatisch mit der Payload-URL und ruft eine Datei ab.
„In der Regel zeigen PDF-Reader eine Sicherheitswarnung an, die den Benutzer darauf hinweist, dass ein Dokument versucht, auf eine externe Ressource zuzugreifen“, so die Security-Spezialisten. Bei dieser Methode wird das PDF jedoch so konfiguriert, dass es eine kurze URL aufruft, die „vage legitim“ erscheint.
Das Opfer erhält daraufhin ein Popup mit einer Zugriffsanfrage. Klickt der Nutzer auf „Zulassen“, ruft das Skript den schädliche Workload ab und ´startet den Download; das Dokument wird dann auf dem Gerät des Benutzers gespeichert und die Malware ausgeführt.
„Diese Methode ist erfolgreich, da der Benutzer keinen Link anklicken muss. Sie setzt jedoch darauf, dass der Benutzer die Berechtigung zum Zugriff erteilt“, heißt es im Forschungsbericht.
„Als Waffe eingesetzte PDF-Dateien in Phishing-E-Mails sind seit langem ein Problem“, mahnt David Shipley von Beauceron Security. „Dieses Tool macht es Cyberkriminellen kinderleicht, solche Dateien zu erstellen.“
Nutzung privater E-Mails erhöht das Risiko für Unternehmen
Mitarbeiter greifen zunehmend von Firmen-PCs aus auf private E-Mail-Konten zu, insbesondere in hybriden und Remote-Arbeitsumgebungen. Angesichts der Tatsache, dass Hacker Zugang zu einfach zu bedienenden Tools wie MatrixPDF haben, raten Experten Unternehmen jedoch zu erhöhter Wachsamkeit.
„CISOs und CIOs sollten Möglichkeiten in Betracht ziehen, entweder den Zugriff auf private Webmail-Konten über die Unternehmensinfrastruktur zu beschränken oder festzustellen, wo dies tatsächlich erforderlich ist“, rät Avakian von InfoTech. „Private E-Mails verfügen einfach nicht über die gleichen Sicherheitsvorkehrungen wie E-Mail-Sicherheitsdienste von Unternehmen.“
Ensar Seker, CISO beim Threat-Intelligence-Unternehmen SOCRadar, bezeichnet diesen neuen E-Mail-Angriffsvektor als eine „gefährliche Weiterentwicklung des Social Engineering“. Er fügt hinzu: „Dadurch wird der Endpunkt zum schwächsten Glied in der Kill Chain. Sobald ein einzelnes Gerät kompromittiert ist, kann es zum Dreh- und Angelpunkt für laterale Bewegungen, den Diebstahl von Anmeldedaten oder den ersten Zugriff für die Bereitstellung von Ransomware werden.“
Wie sich Unternehmen wappnen können
Die gute Nachricht ist jedoch laut Shipley von Beauceron, dass Phishing-Angriffe mit Anhängen tendenziell eine geringere Erfolgsquote haben. Das liegt daran, dass sie zusätzliche kognitive Anstrengungen und Schritte seitens des Benutzers erfordern, im Gegensatz zum einfachen Klicken auf einen Link in einer E-Mail.
„Unternehmen sollten ein Gleichgewicht zwischen Investitionen in E-Mail-Filter und häufigen und effektiven Awareness-Schulungen finden“, merkte er an. „Letztendlich müssen die Mitarbeiter motiviert werden, wachsam zu bleiben.“
Seker von SOCRadar ergänzt: „CISOs müssen über technische Abwehrmaßnahmen hinausgehen und klare Leitplanken festlegen.Das bedeutet, bekannte schädliche Dateitypen zu blockieren, robuste Sandboxing-Lösungen für Anhänge einzusetzen und Endpunkt-Erkennung zu nutzen, um verdächtiges Dateiverhalten nach der Zustellung zu überwachen.“
Zudem empfiehlt er Unternehmen, Richtlinien durchsetzen, die es Mitarbeitern verbieten, auf Unternehmensgeräten auf private E-Mails zuzugreifen. „Die Aufklärung der Mitarbeiter über die Funktionsweise dieser Angriffe ist besonders wichtig in einer Zeit, in der selbst eine harmlos aussehende PDF-Datei die Spitze einer Spear-Phishing-Kampagne sein kann“.
Seker fügte hinzu: „Letztendlich muss eine mehrschichtige Verteidigung nicht nur Zero Trust für Benutzer, sondern auch Zero Assumption für die Dateisicherheit umfassen.“
Avakian von Info-Tech stimmt zu. Angriffe vom Typ MatrixPDF böten eine „fantastische Gelegenheit“, um Sensibilisierungsmaßnahmen und Schulungen mit einfachen Visualisierungen und realistischen „Was-wäre-wenn“-Szenarien zu integrieren. Unternehmen sollten auch eine „Think Before You Click“-Kultur fördern und es ihren Mitarbeitern, der ersten Verteidigungslinie, leicht machen, verdächtige E-Mails zu melden.
Ebenso wichtig sei es, dass Unternehmen darauf achten, „Mitarbeiter zu belohnen, die dies richtig machen“.
„Anerkennung hat eine große Wirkung“, so Avakian. „Indem sie Mitarbeiter belohnen, die Phishing-Versuche erkennen und melden, können Sicherheitsverantwortliche das Bewusstsein schrittweise verbessern und eine sicherheitsbewusste Kultur fördern.“ (jm)
No Responses