Das Microsoft 365 Defender Threat Intelligence Team hat kürzlich eine Analyse von Malware veröffentlicht, die Morsecode und andere Verschleierungstaktiken im Rahmen ihrer Phishing-Kampagne verwendet.
Malware versucht sich mit verschiedensten Mitteln vor Anti-Viren-Software und anderen Schutzmechanismen zu verstecken. Beispielsweise kombinierte Zloader Word und Exceldokumente mit Makros, die den eigentlichen Schadcode erst nachträglich herunterluden.
Morsecode Malware verschleiert Dateiendung
Die Malware verwendet in ihren Mails doppelte Dateiendungen wie „.XLS.HTML“, um dem Nutzer vorzugaukeln, es würde sich dabei eine Exceldatei im Anhang befinden. Hintergrund ist, dass Windows bekannte Dateiendungen vor dem Nutzer versteckt. Es ist daher auf jeden Fall empfehlenswert, sich die Dateiendungen immer anzeigen zu lassen.
Beispiele aus der freien Wildbahn der Morsecode Malware
xls.HTML
xslx.HTML
Xls.html
.XLS.html
xls.htM
xsl_x.h_T_M_L
.xls.html
._xslx.hTML
._xsl_x.hTML
xls.htML
xls.HtMl
HTML-Webseite zeigt angebliche Exceldatei mit Login-Screen
Öffnet der unbedarfte Nutzer die vermeintliche Exceldatei, bekommt der Nutzer infolge eine verschwommene Exceldatei im Browser zu Gesicht. Diese wird durch einen Login-Screen im Stil von Microsoft Office 365 überlagert. Unter Umständen wird dort noch das Unternehmenslogo des Ziels eingesetzt. Gibt der Nutzer dort sein Kennwort ein, erhält er nur den Hinweis, dass das Kennwort falsch gewesen sei. In späteren Versionen wurde der Nutzer dann einfach auf Office.com umgeleitet, damit dieser keinen Verdacht schöpft.
Die HTML-Datei selbst ist in vier Segmente unterteilt
E-Mail-Adresse des Opfers
Logo der Zielfirma aus den Domains logo[.]clearbit[.]com, i[.]gyazo[.]com, oder api[.]statvoo[.]com
Skript, welches ein Bild eines unscharfen Dokuments lädt, und einen Login-Timeout ausgibt.
Skript, welches den Nutzer zur Eingabe seines Passworts auffordert und dies an den Angreifer übermittelt.
Datenübertragung zum Beispiel per Morsecode, Base64, ASCII oder HTML-Encoding
Seit Juli 2020 hat die Phishing-Kampagne Gebrauch von verschiedensten Verschleierungsmethoden gemacht. Dazu gehört Morsecode, Base64, ASCII oder HTML-Encoding. Durch die regelmäßige und dynamische Veränderung ist es für automatisierte Mechanismen schwer, die Attacke zuverlässig zu erkennen.
Microsoft 365 Defender Threat Intelligence Team beschreibt Gegenmaßnahmen auf verschiedenen Ebenen. Dazu gehört zum Beispiel das Herausfiltern von Mails mit doppelten Dateiendungen oder HTML-Dateien im Anhang. Außerdem wird die Aktivierung von der sogenannten Multi-Faktor-Authentifizierung (MFA) empfohlen. Dadurch kann ein Angreifer selbst mit einem aktuellen Passwort nichts mehr ausrichten, da zum Beispiel zum Einloggen noch ein zweites temporäres Passwort per SMS an den Nutzer versandt wird, auf die ein Angreifer keinen Zugang hätte.
Jeder hat schon einmal eine Spam-Mail vom Nigerianischen Prinzen erhalten. Er benötigt dringend genau deine Unterstützung, um sein Geld in Sicherheit zu bringen. Zudem fordert einen die vermeintliche Bank auf, schnellstmöglich wichtige Dokumente einzureichen. Natürlich auf einer Phishing Webseite, um dabei die Zugangsdaten abzufangen. Details zu den verschiedenen Varianten findest du allerdings in unserem Post über die 10 häufigsten Phishing-Methoden.
Tarnkappe.info
Malware versucht sich mit verschiedensten Mitteln vor Anti-Viren-Software und anderen Schutzmechanismen zu verstecken. Beispielsweise kombinierte Zloader Word und Exceldokumente mit Makros, die den eigentlichen Schadcode erst nachträglich herunterluden.
Morsecode Malware verschleiert Dateiendung
Die Malware verwendet in ihren Mails doppelte Dateiendungen wie „.XLS.HTML“, um dem Nutzer vorzugaukeln, es würde sich dabei eine Exceldatei im Anhang befinden. Hintergrund ist, dass Windows bekannte Dateiendungen vor dem Nutzer versteckt. Es ist daher auf jeden Fall empfehlenswert, sich die Dateiendungen immer anzeigen zu lassen.
Beispiele aus der freien Wildbahn der Morsecode Malware
xls.HTML
xslx.HTML
Xls.html
.XLS.html
xls.htM
xsl_x.h_T_M_L
.xls.html
._xslx.hTML
._xsl_x.hTML
xls.htML
xls.HtMl
HTML-Webseite zeigt angebliche Exceldatei mit Login-Screen
Öffnet der unbedarfte Nutzer die vermeintliche Exceldatei, bekommt der Nutzer infolge eine verschwommene Exceldatei im Browser zu Gesicht. Diese wird durch einen Login-Screen im Stil von Microsoft Office 365 überlagert. Unter Umständen wird dort noch das Unternehmenslogo des Ziels eingesetzt. Gibt der Nutzer dort sein Kennwort ein, erhält er nur den Hinweis, dass das Kennwort falsch gewesen sei. In späteren Versionen wurde der Nutzer dann einfach auf Office.com umgeleitet, damit dieser keinen Verdacht schöpft.
Die HTML-Datei selbst ist in vier Segmente unterteilt
E-Mail-Adresse des Opfers
Logo der Zielfirma aus den Domains logo[.]clearbit[.]com, i[.]gyazo[.]com, oder api[.]statvoo[.]com
Skript, welches ein Bild eines unscharfen Dokuments lädt, und einen Login-Timeout ausgibt.
Skript, welches den Nutzer zur Eingabe seines Passworts auffordert und dies an den Angreifer übermittelt.
Datenübertragung zum Beispiel per Morsecode, Base64, ASCII oder HTML-Encoding
Seit Juli 2020 hat die Phishing-Kampagne Gebrauch von verschiedensten Verschleierungsmethoden gemacht. Dazu gehört Morsecode, Base64, ASCII oder HTML-Encoding. Durch die regelmäßige und dynamische Veränderung ist es für automatisierte Mechanismen schwer, die Attacke zuverlässig zu erkennen.
Microsoft 365 Defender Threat Intelligence Team beschreibt Gegenmaßnahmen auf verschiedenen Ebenen. Dazu gehört zum Beispiel das Herausfiltern von Mails mit doppelten Dateiendungen oder HTML-Dateien im Anhang. Außerdem wird die Aktivierung von der sogenannten Multi-Faktor-Authentifizierung (MFA) empfohlen. Dadurch kann ein Angreifer selbst mit einem aktuellen Passwort nichts mehr ausrichten, da zum Beispiel zum Einloggen noch ein zweites temporäres Passwort per SMS an den Nutzer versandt wird, auf die ein Angreifer keinen Zugang hätte.
Jeder hat schon einmal eine Spam-Mail vom Nigerianischen Prinzen erhalten. Er benötigt dringend genau deine Unterstützung, um sein Geld in Sicherheit zu bringen. Zudem fordert einen die vermeintliche Bank auf, schnellstmöglich wichtige Dokumente einzureichen. Natürlich auf einer Phishing Webseite, um dabei die Zugangsdaten abzufangen. Details zu den verschiedenen Varianten findest du allerdings in unserem Post über die 10 häufigsten Phishing-Methoden.
Tarnkappe.info
