Hacker attackieren ZIP und RAR

Cyber-Kriminelle verstecken bösartige Nutzdaten, um die Entdeckung durch Benutzer – und Antiviren-Software – zu erschweren. ZIP- und RAR-Dateien haben Office-Dokumente als die Dateien abgelöst, die von Cyberkriminellen am häufigsten zur Verbreitung von Malware verwendet werden. Dies geht aus einer Analyse realer Cyberangriffe und von Daten hervor, die von Millionen von PCs gesammelt wurden.

Die Untersuchung, die auf Kundendaten von HP Wolf Security basiert, ergab, dass im Zeitraum zwischen Juli und September dieses Jahres 42 % der Versuche, Malware zu verbreiten, Archivdateiformate, einschließlich ZIP und RAR, verwendet wurden.

Das bedeutet, dass Cyberangriffe, die ZIP- und RAR-Formate ausnutzen, häufiger vorkommen als solche, die versuchen, Malware über Microsoft Office-Dokumente wie Microsoft Word- und Microsoft Excel-Dateien zu verbreiten, die lange Zeit die bevorzugte Methode waren, um Opfer zum Herunterladen von Malware zu verleiten.

Den Forschern zufolge ist dies das erste Mal seit über drei Jahren, dass Archivdateien Microsoft Office-Dateien als häufigstes Mittel zur Verbreitung von Malware abgelöst haben. Indem bösartige Nutzdaten verschlüsselt und in Archivdateien versteckt werden, haben Angreifer die Möglichkeit, viele Sicherheitsvorkehrungen zu umgehen.

„Archive sind leicht zu verschlüsseln und helfen Angreifern, Malware zu verstecken und Web-Proxys, Sandboxes oder E-Mail-Scanner zu umgehen. Dadurch sind Angriffe schwer zu erkennen, insbesondere in Kombination mit HTML-Schmuggeltechniken“, so Alex Holland, Senior Malware-Analyst im HP Wolf Security Threat Research Team.

In vielen Fällen erstellen die Angreifer Phishing-E-Mails, die so aussehen, als kämen sie von bekannten Marken und Online-Diensteanbietern, und versuchen so, den Benutzer zum Öffnen und Ausführen der bösartigen ZIP- oder RAR-Datei zu verleiten.

Dazu gehören auch bösartige HTML-Dateien in E-Mails, die sich als PDF-Dokumente tarnen und bei deren Ausführung ein gefälschter Online-Dokumentenbetrachter angezeigt wird, der das ZIP-Archiv entschlüsselt. Wird es vom Benutzer heruntergeladen, infiziert es ihn mit Malware.

Laut einer Analyse von HP Wolf Security ist eine der berüchtigtsten Malware-Kampagnen, die sich auf ZIP-Archive und bösartige HTML-Dateien stützt, Qakbot – eine Malware-Familie, die nicht nur zum Datendiebstahl, sondern auch als Hintertür für die Verbreitung von Ransomware genutzt wird.

Qakbot tauchte im September wieder auf, als bösartige Nachrichten per E-Mail verschickt wurden, die vorgaben, sich auf Online-Dokumente zu beziehen, die geöffnet werden müssten. Wenn das Archiv ausgeführt wurde, lud es mit bösartigen Befehlen die Nutzlast in Form einer dynamischen Link-Bibliothek herunter und führte sie aus, die dann mit legitimen – aber häufig missbrauchten – Tools in Windows gestartet wurde.

Kurz darauf begannen Cyberkriminelle, die IcedID verbreiteten – eine Form von Malware, die installiert wird, um menschengesteuerte Ransomware-Angriffe zu ermöglichen -, eine Vorlage zu verwenden, die mit der von Qakbot fast identisch war, um Archivdateien zu missbrauchen und Opfer zum Herunterladen von Malware zu verleiten.

Bei beiden Kampagnen wurde darauf geachtet, dass die E-Mails und die gefälschten HTML-Seiten legitim aussahen, um so viele Opfer wie möglich zu täuschen. „Interessant an den QakBot- und IcedID-Kampagnen war der Aufwand, der in die Erstellung der gefälschten Seiten gesteckt wurde – diese Kampagnen waren überzeugender als alles, was wir bisher gesehen haben, und machten es den Leuten schwer zu erkennen, welchen Dateien sie vertrauen können und welchen nicht“, so Holland.

Eine Ransomware-Gruppe wurde ebenfalls dabei beobachtet, wie sie ZIP- und RAR-Dateien auf diese Weise missbrauchte. Nach Angaben von HP Wolf Security zielte eine Kampagne der Ransomware-Gruppe Magniber auf Privatanwender ab, wobei die Angriffe Dateien verschlüsselten und von den Opfern 2.500 US-Dollar verlangten.

In diesem Fall beginnt die Infektion mit einem Download von einer von Angreifern kontrollierten Website, die Benutzer auffordert, ein ZIP-Archiv herunterzuladen, das eine JavaScript-Datei enthält, die vorgibt, ein wichtiges Antiviren- oder Windows 10-Software-Update zu sein. Wenn sie ausgeführt wird, lädt sie die Ransomware herunter und installiert sie.

Vor dieser jüngsten Magniber-Kampagne wurde die Ransomware über MSI- und EXE-Dateien verbreitet – aber wie andere Cyberkriminelle haben sie den Erfolg bemerkt, der mit der Verbreitung von in Archivdateien versteckten Nutzdaten erzielt werden kann.

Cyber-Kriminelle ändern ihre Angriffe ständig, und Phishing bleibt eine der wichtigsten Methoden zur Verbreitung von Malware, da es oft schwierig ist, zu erkennen, ob eine E-Mail oder eine Datei legitim ist – vor allem, wenn sie die bösartige Nutzlast bereits an einem Ort versteckt hat, an dem sie von Antiviren-Software nicht erkannt werden kann.

Die Benutzer werden dringend gebeten, bei Aufforderungen zum Öffnen von Links und zum Herunterladen von Anhängen vorsichtig zu sein, insbesondere bei unerwarteten oder unbekannten Quellen.