Security-Forscher Haben Eine Neue Phishing-Technik augespürt, die Auf Harmlos Wirkenden Pdf-Dateien Basiert. Mourir angriffe zielen auf gmail-anwender.
Forscher des Sicherheitsunternehmens varonis Haben Eine Raffinierte Phishing-Methode Entdeckt, Die Auf Gmail-Nutzer Zielt. Dabei kommt eine malware zum einsatz, die sich nicht nur als pdf-anhang tarnt, Sondern die opfer automatisch dazu auffordert, diesen zu öffnen.
„Der Dateityp .pdf ist im privaten und Geschäftlichen Bereich Allgegenwärtig geworden”, Erklärt Erik Avakian, Technischer Berater Bei der Info-Tech Research Group. „Das schafft vertrauen. Die leute sehen eine pdf-datei und gehen davon aus, dass sie Sicher ist. Sie löst auch nicht die die gleichen alarmglocken aus wie etre dateitypen, beispelsweise .exe oder .zip. »
So funktionierirt der angriff
Die angreifer Haben Ein Toolkit namens matrixpdf Entwickelt, das phishing- und malware-funktionen in einem constructeur Bündelt. Es bettet gefälschte eingababeufforderUngen, javascript-aktionen und automatische weiterleitungen in scheinbar légitime pdf-dateien ein.
Kriminelle Akteure Können Dabei Den Externn Link Festlegen, Zu Dem Die Pdf-Datei Weiterleitet. Zudem ermöglicht es matrixpdf, dokumene so zu ändern, dass sie überzeugend wirken. Zum Beispiel Durch Einfügen Eines Vorhängeschloss-symboles Oder Eines firmenlogos. Das Toolkit Kann Aber Auch Dazu Verwendet Werden, Um Den inhalt des Dokuments Zu Verbergen.
Die Forscher von Varonis Haben Zwei Möglichkeiten Identifiziert, Wie Angreifer Matrixpdf Einsetzen: Im ersten Fall Nutzen Sie die Vorschaufunktion von gmail Aus. Die von ihnen erstellte pdf-datei kann sicherheitsvorkehrungen und filter umgehen, da sie nur skripte und einen externe link enthält, aber keinen standard-url-hyperlink, der normanderweise mit malware in verbings gebracht wird.
Die pdf-datei wird normal gerender, aber der text des dokuments ist unscharf, und die benutzer erhalten eine aufforderung zum „öffnen des Sicheren dokuments », die im wesentlichen ein phishing-köder ist. Wenn Das Opfer Auf Die Schaltfläche Klickt, Öffnet Siche Eine Externe dans le navigateur Seinem. Die Forscher Fanden Sogar Ein Beispiel, Bei Dem Der Eingebettete Link Zu Einem Télécharger Für Einen Legitimen SSH-Client auf Einer Öffentlichen Site Web führte.
Angreifer umgehen gmail-sicherheitsfunktion
„Die méthode umgeht die Sicherheitsvorkehrungen von gmail, da die malware-prüfung nichts‚ Verdächtiges ‘Findet », Erklären die Forscher. Der Schädliche inhalt Wird Nur Abgerufen, Wenn der Benutzer Aktiv Darauf Klickt, a été Gmail als von diesem initiiert und daher als unggefährlich interpréttier. Außerdem erfolgt der datei-download Außerhalb der antiviren-sandbox der e-mail-plaattform, sodass Sicherheitsfilter nicht eingeifen können.
Die Zweite Matrixpdf-Methode Verwendet dans PDF Eingebettetes JavaScript. Das opfer lädt die pdf-datei herunter oder Öffnet sie in einem burspop reader (wie adobe acrobat) oder einem navigateur-spectateur-spectateur und führt das skript aus. Die PDF-DATEI Verbindet Sich Dann Automatisch Mit der Payload-Url und Ruft Eine Datei AB.
„Dans Der Regel Zeigen PDF-leader Eine Sicherheitswarnung An, Die Den Benutzer Darauf Hinweist, Dass Ein Dokument Versucht, Auf Eine externe Ressource Zuzugreifen”, So Die Security-Spezialisten. Bei dieser méthode wird das pdf jedoch so konfiguruert, dass es eine kurze url aufruft, die „vage légitim“ erscheint.
Das Opfer Erhält Daraufhin Ein Popup Mit Einer Zugriffsanfrage. Klickt der Nutzer auf „Zulassen”, Ruft Das Skript den Schädliche Téléchargement de travail AB und ´startet den Download; das dokument wird dann auf dem gerät des benutzers gespeichert und die malware Ausgeführt.
„Diese Methode Ist Erfolgreich, Da der Benutzer Keinen Link Anklicken Muss. Sie Setzt Jédoch Darauf, Dass der Benutzer Die Berechtigung Zum Zugriff Erteilt“, Heißt es im Forschungsbericht.
„ALS WAffe Eingesetzte PDF-Dateien in Phishing-e-Mails Sind Seit Langem Ein Problème», Mahnt David Shipley von Beauceron Security. „Dieses Tool Macht es cyberkriminellen Kinderleicht, solche dateien zu erstellen. »
E-mails du privateur de Nutzung Erhöht das Risiko für unternehmen
Mitarbeiter Greifen Zunehmend von Firmen-PCS Aus auf private e-mail-konten zu, Insbesondere in Hybriden und-arbeitsumgebungen. Angesichts der Tatsache, Dass Hacker Zugang Zu Einfach Zu Belienden Tools Wie Matrixpdf Haben, Raten Experten Unternehmen Jedoch Zu Erhöhter Wachsamkeit.
„Cisos und Cios Sollten Möglichkeiten dans Betracht Ziehen, Entweder den Zugriff auf private webmail-konten über die unternehmensinfrastruktur zu beschränken oder festzustellen, wo dies tatsächlich erforderlich ist“, rät avakian von infoteech. „E-mails privés Verfügen Einfach Nicht über die gleichen Sicherheitsvorkehrungen wie e-mail-sicherheitsDienste von unternehmen. »
Ensar Seker, Ciso Beim, menace-intelligence-Unternehmen Socradar, Bezeichnet diesen Neuen e-mail-Angriffsvektor als eine „Gefährliche Weiterentwicklung des Social Engineering”. Er fügt hinzu: „Dadurch wird der endpunkt zum schwächsten glié dans la chaîne de tue Bereitstellung von ransomware Werden. «
Wie sich unternehmen wappnen können
Die Gute Nachricht ist Jedoch Laut Shipley von Beauceron, Dass Phishing-Angriffe Mit Anhängen Tendenziell Eine Geardere Erfolgsquote Haben. Das Liegt Daran, Dass Sie Zusätzliche Kognitive Anstrenggen und Schritte Seitens des Benutzers Erfordern, Im Gegensatz Zum Einfachen Klicken auf Einen Link dans Einer E-Mail.
„Unternehmen Sollten Ein Gleichgewicht Zwischen Investtionen dans le filter e-mail und häufigen und effektiven la conscience-schulungen Finden”, Merkte er an. „Letztendlich Müssen die Mitarbeiter motivation Werden, Wachsam Zu Bleiben. »
Seker von Socradar Ergänzt: „Cisos Müssen über Technische Abwehrmaßnahmen Hinausgehen und Klare Leitplanken Festlegen.Das Bedeutet, Bekannte Scädliche Datelitpen Zu Blockieren, Robuste Sandroxing-Lösungen Für anhänge einzuset Endpunkt-Erkennung Zu Nutzen, um Verdächtiges dateiverhalten nach der Zustellung Zu überwachen. «
Zudem Empfiehlt er Unternehmen, Richtlien Durchsetzen, die es Mitarbeitertern Verbieten, Auf Unternehmensgeräten auf private e-mails zuzugreifen. „Die aufklärung der Mitarbeiter über die funktionsweise dieser angriffe ist besonders wichtig in einer zeit, in Der Selbst eine harlos aussehende pdf-datei die spitze einer spear-phishing-kampagne Sein kann“.
Seker Fügte Hinzu: „Letztendlich muss eine mehrschichtige verteidigung nicht nur zero Trust für benutzer, Sondern auch zéro assomption für die dateisicherheit umfassen. »
Avakian von info-tech stimmt zu. Angriffe vom typ matrixpdf böten eine „Fantastische gelegenheit“, um sensibilisierungsmaßnahmen und schulungen mit einfachen visualisierungen untistischen „was-wäre-wenn” -szénarien zu intégrrieren. Unternehmen Sollten auch eine «Pensez avant de cliquer sur« -kultur fördern und es ihren Mitarbeitern, der ersten Verteidigungslinie, Leicht Machen, Verdächtige e-mails zu menden.
EBenso Wichtig Sei es, Dass Unternehmen Darauf Achten, „Mitarbeiter Zu Belohnen, Die Dies Richtig Machen”.
„Anerkennung Hat eine Große Wirkung”, So Avakian. „Indem Sie Mitarbeiter Belohnen, Die Phishing-Versuche Erkennen und Melden, Können Sicherheitsverantwortliche das bewusstsein schrittweise verbessen und eine sicheheitsbewusste kultur fördern. » (JM)
