{"id":1021,"date":"2024-12-02T14:05:00","date_gmt":"2024-12-02T14:05:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1021"},"modified":"2024-12-02T14:05:00","modified_gmt":"2024-12-02T14:05:00","slug":"phishing-mit-word-dokumenten-und-qr-code","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1021","title":{"rendered":"Phishing mit Word-Dokumenten und QR-Code"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Cyberkriminelle nutzen defekte Word-Dateien, um Sicherheitssoftware zu umgehen und ihre Opfer zu t\u00e4uschen.<\/p>\n

JLStock\/shutterstock.com<\/p>\n<\/div>\n

Phishing<\/a> ist kein neues Problem, einzig die Art und Weise wie es durchgef\u00fchrt wird, ver\u00e4ndert sich. Mal ist es Social-Engineering<\/a>, mal wird auf die Jahreszeit und das Verbraucherverhalten<\/a> reagiert. So haben Cyberkriminelle jetzt wieder Word-Dokumente als Mittel<\/a> f\u00fcr sich entdeckt, um ihren Opfern per Spear-Fishing Malware unterzujubeln. In der Vergangenheit wurden zum Beispiel Word-Dokumente mit gef\u00e4hrlichen Makros verwendet.<\/p>\n

Das Problem ist nicht neu<\/strong><\/h2>\n

Neu ist jetzt, dass Kriminelle die Wiederherstellungsfunktion von Microsoft Word-Dateien in Kombination mit QR-Codes nutzen. Dazu versenden sie besch\u00e4digte Word-Dokumente als E-Mail-Anh\u00e4nge. Aufgrund ihres besch\u00e4digten Zustands umgehen diese Dateien die Sicherheitssoftware, k\u00f6nnen aber von der Anwendung selbst wiederhergestellt werden.<\/p>\n

So erkennen Antivirenprogramme diese Dateien nicht als Malware, da die Dateitypen m\u00f6glicherweise nicht korrekt analysieren werden. Auch externe Seiten wie VirusTotal<\/a>\u00a0 registrieren die Bedrohung nicht, sondern geben den Status des Dokuments entweder als \u201eclean\u201c oder \u201eItem Not Found\u201c an.<\/p>\n

Das Unternehmen Any.Run<\/a>, das sich auf die Jagd nach Malware spezialisiert hat, entdeckte die neue Phishing-Kampagne. Die Experten fanden heraus, dass Angreifer die korrumpierten Dokumente als Anh\u00e4nge in E-Mails verschicken, die vorgeben, zum Beispiel von Lohn- und Personalabteilungen zu stammen. Inhaltlich geht es immer darum, dass die Mitarbeitenden zahlreiche Verg\u00fcnstigungen und Pr\u00e4mien erhalten soll \u2013 ein klassischer Fall von Social Engineering.<\/p>\n

Breit aufgestellt und doch technisch gleich<\/strong><\/h2>\n

Wie genau diese angeblich aussehen, variieren stark. Die Kriminellen verwenden eine breite Palette von Themen, einschlie\u00dflich:<\/p>\n

Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx<\/p>\n

Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin<\/p>\n

Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin<\/p>\n

Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin<\/p>\n

Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin<\/p>\n

Bei aller Abwechslung haben die Dokumente dieser Kampagne alle eine Gemeinsamkeit: \u00a0Sie enthalten stets die base64-kodierte Zeichenfolge \u201eIyNURVhUTlVNUkFORE9NNDUjIw\u201c, die zu \u201e##TEXTNUMRANDOM45##\u201c dekodiert wird.<\/p>\n

Schadensfreies Dokument, gef\u00e4hrlicher Inhalt<\/strong><\/h2>\n

\u00d6ffnen die Empf\u00e4nger den Anhang<\/p>\n

stellt Word fest, dass die Datei besch\u00e4digt ist,<\/p>\n

meldet, dass es \u201eunlesbaren Inhalt\u201c in der Datei gefunden hat, und<\/p>\n

fragt, ob die Datei wiederhergestellt werden soll.<\/p>\n

Der Schaden am Dokument selbst ist nicht gravierend und kann leicht behoben werden, so dass das Phishing-Dokument schnell wiederhergestellt wird. Sobald die Datei repariert ist, wird dem Opfer ein Dokument mit den Logos der Zielfirma angezeigt.<\/p>\n

Im Dokument selbst befindet sich ein QR-Code, den die Zielperson einscannen soll. Durch das Scannen des QR-Codes wird der Nutzer auf eine Phishing-Website geleitet, die sich als Microsoft-Login ausgibt. Diese versucht, die Anmeldedaten des Benutzers zu stehlen.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Cyberkriminelle nutzen defekte Word-Dateien, um Sicherheitssoftware zu umgehen und ihre Opfer zu t\u00e4uschen. JLStock\/shutterstock.com Phishing ist kein neues Problem, einzig die Art und Weise wie es durchgef\u00fchrt wird, ver\u00e4ndert sich. Mal ist es Social-Engineering, mal wird auf die Jahreszeit und das Verbraucherverhalten reagiert. So haben Cyberkriminelle jetzt wieder Word-Dokumente als Mittel f\u00fcr sich entdeckt, um […]<\/p>\n","protected":false},"author":0,"featured_media":1022,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1021","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1021"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1021"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1021\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1022"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1021"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1021"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1021"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}