Das Erwachen der LNK-Dateien

Laut der aktuellen Ausgabe des HP Wolf Security Threat Insights Report  setzen Cyber-Kriminelle, die Malware-Familien wie QakBot, IceID, Emotet und RedLine Stealer für ihre Angriffe nutzen, vermehrt auf Verknüpfungs-Dateien. Mit den LNK-Dateien  verbreiten sie ihre Schadprogramme. Bisher wurden hauptsächlich Office-Makros als Einfallstor für Malware ins Unternehmensnetzwerk genutzt.  Diese werden mittlerweile allerdings standardmäßig von Office blockiert.

Verknüpfungsdateien versteckt in ZIP-E-Mail-Anhängen

Die mit Malware infizierten Archivdateien, darunter auch LNK-Dateien, sind um elf Prozent angestiegen. Um E-Mail-Scanner zu umgehen, platzieren Angreifer die Verknüpfungsdateien in ZIP-E-Mail-Anhängen. Hacker-Foren bieten dazu LNK-Malware-Baukästen an: Cyber-Kriminelle sind damit in der Lage, schädliche Verknüpfungsdaten zu erstellen und damit Organisationen ins Visier zu nehmen – somit wird den Angreifern ein unkomplizierter Wechsel auf eine „makro-freie“ Code-Ausführungstechnik ermöglicht.

„Das Öffnen einer Verknüpfung oder einer HTML-Datei mag für einen Mitarbeiter harmlos erscheinen, kann aber ein großes Risiko für die Organisation darstellen“, erklärt Alex Holland, Senior Malware Analyst, HP Wolf Security Threat Research Team. „Wir empfehlen, Verknüpfungsdateien, die als E-Mail-Anhänge empfangen oder aus dem Internet heruntergeladen werden, wenn möglich sofort zu blockieren.“Vermehrter HTML-Schmuggel zur Verbreitung von Malware

HP hat weiterhin mehrere Phishing-Kampagnen identifiziert, bei denen E-Mails eingesetzt wurden, die vermeintlich von regionalen Postdiensten stammten. Darüber hinaus stellte der Bericht fest, dass im Rahmen von Großveranstaltungen wie der Doha Expo 2023 vermehrt HTML-Schmuggel zur Verbreitung von Malware zum Einsatz kommt. Mithilfe dieser Technik werden gefährliche Dateitypen, die normalerweise von E-Mail-Gateways blockiert werden, in Firmen eingeschleust – die Folge ist ein Malware-Befall.

Nach Bekanntgabe der aktuellen Zero-Day-Schwachstelle im Microsoft Support Diagnostic Tool (MSDT) – genannt „Follina“ – nutzten zahlreiche Bedrohungsakteure diese aus, um QakBot, Agent Tesla und den Remcos RAT (Remote Access Trojan) noch vor der Verfügbarkeit eines Patches zu verbreiten. Das Defizit gibt Angreifern die Möglichkeit, beliebigen Code auszuführen, um Malware zu verbreiten. Darüber hinaus ist kaum Interaktion mit dem Anwender notwendig, um Schadprogramme auf den Zielcomputern zu installieren – dies macht das Defizit besonders gefährlich.

Neue Malware-Familie SVCReady

HP hat eine Kampagne aufgedeckt, die eine neue Malware-Familie namens SVCReady über in Office-Dokumenten versteckten Shellcode verbreitet. Die Malware sammelt Systeminformationen und lädt im Anschluss sekundäre Malware-Nutzlasten auf infizierte PCs. Das Schadprogramm befindet sich noch in einem frühen Entwicklungsstadium und wurde in den vergangenen Monaten mehrfach aktualisiert.

Roger Homrich

Recent Posts

Microsoft gibt Windows 10 Version 22H2 für die Allgemeinheit frei

Den Meilenstein erreicht das Update nach rund fünf Wochen. Nutzer erhalten mit Windows 10 Version…

2 Tagen ago

Verschlusssache? Aber sicher!

Für Aufträge einer Bundes- oder Landesbehörde gelten besondere Sicherheitsvorkehrungen. Wer die gesetzlichen Anforderungen nicht erfüllt,…

2 Tagen ago

Industrielle Daten monetarisieren

Herausforderungen der deutschen Industrie bei der Nutzung und wirtschaftlichen Verwertung von industriellen Daten.

3 Tagen ago

Colt und IBM gründen Industrie 4.0-Lab

Labor ermöglicht es Unternehmen im Fertigungssektor, die Vorteile von sicheren Edge-Cloud-Diensten zu nutzen

3 Tagen ago

Digitale Transformation verstärkt Fachkräftemangel

Aufgrund steigender digitaler Anforderungen müssen Unternehmen alternative Personalquellen erschließen.

3 Tagen ago

Vom Betriebswirt zum Web-Programmierer

Die Developer Akademie bildet Quereinsteiger zu IT-Profis weiter und hilft etwas, den hohen Bedarf an…

3 Tagen ago