Microsoft warnt vor einer neuen Phishing-Welle, die einen bereits bekannten, aber noch nicht weit verbreiteten Trick verwendet. Dieser nennt sich HTML-Smuggeling und verwendet "versteckten" bösartigen HTML-Code in Anhängen und Webseiten.
Microsoft hat mit Hilfe der verschiedenen Sicherheitsfunktionen des Windows Defender einen rasanten Anstieg von Malware-Kampagnen festgestellt, die HTML-Smuggeling nutzen, um Banking-Malware und sogenannte Remote-Access-Trojaner (kurz RAT) zu verbreiten. Smuggeling bedeutet dabei so viel wie Schmuggel und beschreibt das Einschmuggeln von manipuliertem HTML in Anhängen und Webseiten.
Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing
Dieser HTML-Schmuggel ist zwar keine neue Technik, Microsoft stellte nun laut einem Bericht des Online-Magazin Bleeping Computer aber fest, dass sie zunehmend von Bedrohungsakteuren eingesetzt wird, um sich ihrer Entdeckung zu entziehen. Ein Beispiel dafür ist die Nobelium-Hackergruppe, die hinter den SolarWinds-Angriffen steckt.
Ein Phishing-HTML-Anhang kann beispielsweise einen harmlosen Link zu einer bekannten Website enthalten und wird daher nicht als bösartig eingestuft. Wenn ein Benutzer jedoch auf den Link klickt, dekodiert JavaScript eine enthaltene verschlüsselte oder kodierte Zeichenfolge und wandelt sie in einen bösartigen Anhang um, der stattdessen heruntergeladen wird. Das macht es für den Betroffenen schwieriger, solche Kampagnen selbst zu erkennen.
Aber nicht nur für Menschen ist es schwieriger. Da der Schadcode zunächst einmal verschlüsselt ist, sieht er für die eingesetzte Sicherheitssoftware harmlos aus und wird nicht als bösartig erkannt. Da JavaScript die Nutzdaten auf dem Zielsystem zusammenstellt, umgeht es außerdem alle Firewalls und Sicherheitsvorkehrungen, die die bösartige Datei normalerweise an der Grenze abfangen würden.
Microsoft hat nun festgestellt, dass diese Technik in sehr gezielten Angriffen eingesetzt wird. Unter anderem geht es um die Verbreitung von bösartigen Schadprogrammen wie dem Fernzugriffs-Trojaner AsyncRAT oder NJRAT oder den Trojaner TrickBot, der zum Einbruch in Netzwerke und zur Verbreitung von Ransomware verwendet wird.
Quelle; winfuture
Du musst Regestriert sein, um das angehängte Bild zusehen.
Microsoft hat mit Hilfe der verschiedenen Sicherheitsfunktionen des Windows Defender einen rasanten Anstieg von Malware-Kampagnen festgestellt, die HTML-Smuggeling nutzen, um Banking-Malware und sogenannte Remote-Access-Trojaner (kurz RAT) zu verbreiten. Smuggeling bedeutet dabei so viel wie Schmuggel und beschreibt das Einschmuggeln von manipuliertem HTML in Anhängen und Webseiten.
Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing
Du musst angemeldet sein, um Bilder zu sehen.
Dieser HTML-Schmuggel ist zwar keine neue Technik, Microsoft stellte nun laut einem Bericht des Online-Magazin Bleeping Computer aber fest, dass sie zunehmend von Bedrohungsakteuren eingesetzt wird, um sich ihrer Entdeckung zu entziehen. Ein Beispiel dafür ist die Nobelium-Hackergruppe, die hinter den SolarWinds-Angriffen steckt.
Wie HTML-Schmuggel funktioniert
HTML-Schmuggel ist eine Technik, die in Phishing-Kampagnen verwendet wird, die HTML5 und JavaScript nutzen, um bösartige Nutzdaten in verschlüsselten Zeichenfolgen in einem HTML-Anhang oder einer Webseite zu verstecken. Diese Zeichenfolgen werden dann von einem Browser entschlüsselt, wenn ein Benutzer den Anhang öffnet oder auf einen Link klickt.Ein Phishing-HTML-Anhang kann beispielsweise einen harmlosen Link zu einer bekannten Website enthalten und wird daher nicht als bösartig eingestuft. Wenn ein Benutzer jedoch auf den Link klickt, dekodiert JavaScript eine enthaltene verschlüsselte oder kodierte Zeichenfolge und wandelt sie in einen bösartigen Anhang um, der stattdessen heruntergeladen wird. Das macht es für den Betroffenen schwieriger, solche Kampagnen selbst zu erkennen.
Aber nicht nur für Menschen ist es schwieriger. Da der Schadcode zunächst einmal verschlüsselt ist, sieht er für die eingesetzte Sicherheitssoftware harmlos aus und wird nicht als bösartig erkannt. Da JavaScript die Nutzdaten auf dem Zielsystem zusammenstellt, umgeht es außerdem alle Firewalls und Sicherheitsvorkehrungen, die die bösartige Datei normalerweise an der Grenze abfangen würden.
Microsoft hat nun festgestellt, dass diese Technik in sehr gezielten Angriffen eingesetzt wird. Unter anderem geht es um die Verbreitung von bösartigen Schadprogrammen wie dem Fernzugriffs-Trojaner AsyncRAT oder NJRAT oder den Trojaner TrickBot, der zum Einbruch in Netzwerke und zur Verbreitung von Ransomware verwendet wird.
Quelle; winfuture
Anhänge
Du musst angemeldet sein, um die Anhangsliste zu sehen.