Proofpoint warnt: Immer mehr Schadsoftware kommt in Dokumenten

Cyber-Gangster sind wie Unternehmen daran interessiert, ihre Kampagnen so effektiv wie möglich zu gestalten. Der Security-as-a-Service-Anbieter Proofpoint warnt in diesem Zusammenhang davor, dass immer mehr Schadsoftware zunehmend in Form von PDF-, Word- oder ZIP-Dateien verschickt wird. »In den letzten Monaten«, erläutert Jürgen Venhorst, Director Channel Sales Central Region von Proofpoint, »waren wir einem bestimmten Entwickler von Schadprogrammen auf der Spur, der sich auf PDF-Dokumente spezialisiert hatte, die die Schwachstelle CVE-2013-2729 ausnutzen.«

Die Kampagne habe zunächst mit dem Versand großer Mengen an E-Mails gestartet, in deren Anhang sich bösartige PDF-Dateien befanden. »Im Laufe der Monate beobachteten wir, dass die verwendeten Taktiken vielfältiger wurden«, sagt Venhorst. »Der Entwickler verwendete nicht mehr nur eine einzelne Übertragungsmethode, sondern begann, dieselbe Schadsoftware auf unterschiedlichen Wegen zu verbreiten.«

Viele Angriffskombinationen mit PDFs

So begegneten Proofpoint von diesem Angreifer beispielsweise E-Mail-Nachrichten mit den folgenden Angriffskombinationen:
► URL auf infiziertes PDF + URL auf Malware innerhalb einer ZIP-Datei,
► PDF-Dokument im Anhang + URL auf Malware innerhalb einer ZIP-Datei,
► PDF-Dokument im Anhang + URL auf infiziertes Word-Dokument (CVE-2012-0158),
► ZIP-Datei mit enthaltener Malware im Anhang.

»Wir stellten fest, dass bei einer dieser Kampagnen drei unterschiedliche Arten von Schadsoftware in jeweils mehreren verschiedenen Varianten über infizierte Dokumente und ZIP-Dateien verbreitet wurden«, erklärt Venhorst. »Wie es leider häufig der Fall ist, wurden viele dieser Binärdateien nur von sehr wenigen Virenschutzprogrammen erkannt.«

Malware-Kampagnen mit E-Mail-Anhänge scheinen zuzunehmen

Diese Kampagnen zeigen nach Meinung des Proofpoint-Managers deutlich, dass Angreifer nach immer neuen Wegen suchen, um Nutzer zu infizieren. Auch wenn die großen Exploit-Kit-Kampagnen, die letztes Jahr zu beobachten waren, momentan weniger häufig vorkommen, scheinen auf E-Mail-Anhänge ausgerichtete Kampagnen zuzunehmen.

»Anfangs wurden Dokumente mit gefährlichen Inhalten nur von erfahrenen APT-Akteuren verwendet, doch mittlerweile scheint eine größere Anzahl an Akteuren kriminelle Software auf diesem Weg zu verbreiten«, gibt Venhorst zu bedenken. »Dieses Beispiel zeigt deutlich, wie Internetkriminelle bei der Verbreitung von Malware immerzu neue Maßstäbe setzen, und sich Bedrohungen ständig weiterentwickeln.«

.