Cyberkriminelle wenden sich von Makros Container-Dateien – neues Ziel für Cyberkriminelle

Von Peter Schmitz

Anbieter zum Thema

Im letzten Jahr hat Microsoft auf die Vorliebe von Cyberkriminellen reagiert, Schadcode über Makros von Office-Dokumenten in Unternehmen einzuschleusen. Hierzu werden nun XL4- und VBA-Makros für Office-Nutzer in den Standardeinstellungen blockiert. Dieser Schritt hat tatsächlich Wirkung gezeigt.

Cyberkriminelle wenden sich von Makro-aktivierten Dokumenten ab und verwenden zunehmend andere Dateitypen als initiale Payload. Insbesondere ISO- und andere Container-Dateiformate sowie LNK-Dateien erfreuen sich dabei großer Beliebtheit.
Cyberkriminelle wenden sich von Makro-aktivierten Dokumenten ab und verwenden zunehmend andere Dateitypen als initiale Payload. Insbesondere ISO- und andere Container-Dateiformate sowie LNK-Dateien erfreuen sich dabei großer Beliebtheit.
(Bild: Sasint - stock.adobe.com )

Die Verwendung von Makros zur Verbreitung von Schadsoftware ist zwischen Oktober 2021 und Juni 2022 um ganze 66 Prozent zurückgegangen, so das Ergebnis einer Untersuchung der Cybersecurity-Experten von Proofpoint. Allerdings haben die Kriminellen demzufolge neue Wege gefunden, Unternehmen mit Malware zu infizieren und haben sich vermehrt auf die Nutzung von Container-Dateien verlegt.

Vor Microsofts Deaktivierung von Makros haben Cyberkriminellen diese im großen Maßstab dazu verwendet, Benutzer von Office-Anwendungen automatisch bösartige Inhalte ausführen zu lassen. Neben VBA-Makros nutzten sie vor allem Excel-spezifische XL4-Makros. Die Drahtzieher hinter Makro-basierten Angriffen setzen in der Regel auf Social Engineering, um den jeweiligen Empfänger davon zu überzeugen, dass der Inhalt wichtig und die Aktivierung von Makros daher erforderlich ist, um diesen Inhalt anzuzeigen.

Sherrod DeGrippo, Vice President Threat Research and Detection bei Proofpoint fast die Untersuchungsergebnisse so zusammen: „Dass Cyberkriminelle zunehmend auf die direkte Verbreitung Makro-basierter Dateianhänge in E-Mails verzichten, stellt eine bedeutende Veränderung in der Bedrohungslandschaft dar. Die Angreifer setzen stattdessen auf neue Taktiken, um Malware zu verbreiten. Es kann davon ausgegangen werden, dass die zunehmende Verwendung von Dateitypen wie ISO, LNK und RAR weiter anhalten wird.“

Neues Vorgehen

Microsoft blockiert Makros, die ein Mark-of-the-Web-Attribut (MOTW) besitzen. Dieses Attribut zeigt an, ob eine Datei aus dem Internet stammt, und basiert auf dem sogenannten Zone.Identifier. Microsoft-Anwendungen fügen dieses Attribut bestimmten Dokumenten hinzu, wenn diese aus dem Internet heruntergeladen werden.

Cyberkriminelle können jedoch Container-Dateiformate wie ISO (.iso), RAR (.rar), ZIP (.zip) und IMG (.img) nutzen, um diese auf MOTW basierende Sicherheitsfunktion zu unterlaufen. Nach dem Download werden die Container-Dateien mit dem MOTW-Attribut versehen, da sie aus dem Internet heruntergeladen wurden, aber das darin enthaltene Dokument, beispielsweise eine Makro-aktivierte Tabelle, wird nicht mit dem Attribut markiert. Wenn das Dokument extrahiert wird, muss der Benutzer zwar immer noch Makros aktivieren, damit der Schadcode automatisch ausgeführt wird, aber das Dateisystem wird nicht erkennen, dass das Dokument aus dem Internet stammt und somit potenziell gefährlich ist.

Zudem sind Kriminelle dazu in der Lage, Containerdateien zu verwenden, um eine gefährliche Payload direkt zu verbreiten. Hierzu können Containerdateien zusätzliche Inhalte wie LNKs, DLLs oder ausführbare Dateien (.exe) enthalten, die zur Installation einer solchen Payload führen.

Die Kurve zeigt nach oben

Wie die Grafik zeigt, hat die Nutzung von Container-Dateien in dem Zeitraum drastisch zugenommen, in dem die Nutzung von Makros zurückgegangen ist:

Proofpoint konnte bei seinen Untersuchungen einen deutlichen Rückgang von Makro-aktivierten Dokumenten feststellen, die im Rahmen von Angriffen als E-Mail-Anhänge verschickt wurden. Zwischen Oktober 2021 und Juni 2022 nahm deren Anzahl um mehr als zwei Drittel ab. Im gleichen Zeitraum stieg die Zahl der Kampagnen, die Containerdateien sowie Windows-Shortcut-Anhänge (LNK) nutzten – um fast 175 Prozent.

Dieser Anstieg ist zum Teil auf die zunehmende Verwendung von ISO- und LNK-Dateien in Kampagnen zurückzuführen. Cyberkriminelle nutzen diese verstärkt als anfänglichen Zugangsmechanismus. Das gilt z.B. für die Akteure, die die Bumblebee-Malware verbreiten, die in letzter Zeit für Schlagzeilen gesorgt hat. Die Verwendung von ISO-Dateien ist zwischen Oktober 2021 und Juni 2022 um über 150 Prozent gestiegen. Mehr als die Hälfte der 15 erfassten cyberkriminellen Gruppen, die in diesem Zeitraum ISO-Dateien verwendet haben, setzten diese erst nach Januar 2022 in Kampagnen ein.

Die auffälligste Veränderung in den Methoden der Cyberkriminellen ist das Auftauchen von LNK-Dateien; mindestens 10 Gruppen Cyberkrimineller haben seit Februar 2022 begonnen, LNK-Dateien zu verwenden. Die Anzahl der Kampagnen, die LNK-Dateien enthalten, ist seit Oktober 2021 um 1.675 Prozent angewachsen. Die Spezialisten von Proofpoint haben verschiedene Gruppen Cyberkrimineller und Advanced Persistent Threats (APT) beobachtet, die seit Oktober 2021 vermehrt LNK-Dateien nutzen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Insbesondere die Aktivitäten großer cyberkrimineller Gruppen schlagen sich in der Analyse von Proofpoint nieder. So haben die Experten beispielsweise im März 2022 einen sprunghaften Anstieg der Verwendung von XL4-Makros gegen den allgemeinen Trend beobachtet. Sie schreiben diesen Anstieg der Gruppe TA542 zu, welche die Emotet-Malware verbreitet und im März mehr Kampagnen mit einem höheren Nachrichtenvolumen als in den Vormonaten durchgeführt hat. Typischerweise verwendet TA542 Microsoft Excel- oder Word-Dokumente, die VBA- oder XL4-Makros enthalten. Die Emotet-Aktivitäten gingen im April zurück, und in den folgenden Kampagnen hat TA542 zusätzliche Verbreitungsmethoden verwendet, darunter Excel Add In (XLL)-Dateien und gezippte LNK-Anhänge.

Das Proofpoint-Team hat auch einen leichten Anstieg bei der Nutzung von HTML-Anhängen zur Verbreitung von Malware beobachtet. Die Zahl der Malware-Kampagnen, die HTML-Anhänge verwenden, hat sich demnach von Oktober 2021 bis Juni 2022 mehr als verdoppelt, die Gesamtzahl bleibt jedoch im Verhältnis zu den anderen beschriebenen Methoden gering. Cyberkriminelle setzen zunehmend „HTML Smuggling“ ein, eine Technik, mit der verschlüsselter Schadcode in einen speziell gestalteten HTML-Anhang oder eine Webseite „eingeschmuggelt“ wird.

Tektonische Verschiebung

Cyberkriminelle wenden sich von Makro-aktivierten Dokumenten ab und verwenden zunehmend andere Dateitypen als initiale Payload. Insbesondere ISO- und andere Container-Dateiformate sowie LNK-Dateien erfreuen sich dabei großer Beliebtheit. Solche Dateitypen können Microsofts Makro-Schutz umgehen und erleichtern die Einschleusung ausführbarer Dateien, die zu Datenausspähung und -diebstahl sowie zu einer Infektion mit Ransomware führen können.

Die Sicherheitsexperten von Proofpoint beurteilen diesen Wandel als eine der größten Veränderungen in der E-Mail-Bedrohungslandschaft der jüngeren Geschichte. Diese tektonische Veränderung ist demnach kein kurzfristiger Trend, sondern erfordert dauerhafte Veränderungen der Cybersicherheitsstrategien von Unternehmen.

(ID:48503558)