Cyberkriminelle kennen Unmengen an Techniken, um auf die IT-Systeme ihrer Opfer zu gelangen: Schwachstellen, soziale Netzwerke und sogar Schneckenpost. Die beliebteste Methode ist jedoch die E-Mail: Laut verschiedener Quellen beginnt 91% der Cyberkriminalität mit einer Phishing-E-Mail.

Quasar: eine neue Version einer beliebten Taktik

Ende August entdeckten Sicherheitsforscher eine neue Phishing-Kampagne, die mit einer besonders betrügerischen Methode Malware auf das System eines Unternehmens bringt: Die Malware wird in Lebensläufen versteckt, die als Anhang versendet werden – angeblich von jemandem, der auf der Suche nach einem Job in dem Unternehmen ist. Digitale Plattformen haben sowohl Vorteile als auch Nachteile für die Personalabteilung. Einerseits können sie enorm dazu beitragen, den Auswahlprozess zu rationalisieren. Auf der anderen Seite haben sie einige eklatante Schwachstellen, darunter die IT-Sicherheit. Cyberkriminelle nutzen die Tatsache, dass Unternehmen Dutzende von Dokumenten im Zusammenhang mit ihren Auswahlprozessen erhalten, um Dokumente mit Malware zu versenden.

Im analysierten Fall wird die Malware, die in den Lebensläufen bereitgestellt wurde, Quasar genannt und ist ein Fernzugriffstrojaner (RAT), der bei APTs beliebt ist. Dies deutet darauf hin, dass diese Kampagne von professionellen Cyberkriminellen durchgeführt wird, die mit diesem Tool die Netzwerke ihrer Opfer ausbeuten, ihre Daten stehlen oder ihre Systeme sogar mit Ransomware verschlüsseln wollen.

Eine täuschend einfache Kampagne

Auf den ersten Blick erscheint die Kampagne relativ einfach – ein bösartiges Word-Dokument, das an eine E-Mail angehängt ist – aber eine genauere Untersuchung zeigt, dass die Angreifer genau wissen, was sie tun. Zunächst einmal erschwert der Einsatz eines leicht zugänglichen Tools (Quasar ist auf GitHub verfügbar) die Zuordnung dieser Kampagne zu einer bestimmten Gruppe erheblich.

Das Word-Dokument enthält auch mehrere Methoden, um der Erkennung zu entgehen: Es ist mit einem Passwort geschützt und enthält Makros. Das Passwort, das es verwendet – 123 – ist nicht besonders innovativ. Für automatisierte Systeme, die Anhänge und E-Mails getrennt analysieren, bedeutet dies jedoch, dass das Dokument geöffnet wird, ohne böswillige Aktivitäten zu erkennen, da das System nicht bestimmt, ob ein Passwort für den Zugriff auf die vollständigen Informationen erforderlich ist.

Wenn ein Analytiker oder ein automatisiertes System versuchen würde, die Makros zu analysieren, würde das Skript wahrscheinlich scheitern und abstürzen, weil die über 1.200 Zeilen Müllcode, die es enthält, zu viel Speicher verbrauchen würden. Dies macht es sehr schwierig, die URL der endgültigen Payload zu ermitteln.

Eine letzte Maßnahme, um nicht entdeckt zu werden, ist der Download einer Microsoft Self Extracting Executable, die eine 401MB Quasar RAT Binärdatei entpackt. Diese künstlich große Datei bedeutet, dass die RAT nicht auf VirusTotal, einer Website, die Cyber-Bedrohungsanalysen anbietet, freigegeben werden kann. Daher ist es sehr schwierig, diese Bedrohung zu analysieren.

Gibt es eine Möglichkeit, diese Bedrohung zu vermeiden?

Auch wenn es den Anschein hat, dass diese Art von Bedrohung unaufhaltsam ist, gibt es doch Möglichkeiten, sie zu vermeiden. Zunächst gilt es, Sensibilisierungskampagnen durchzuführen, die auf das schwächste Glied in der Cybersicherheitskette eines Unternehmens abzielen: seine Mitarbeiter, unabhängig davon, welcher Abteilung sie angehören.

Es ist wichtig, dass sie in der Lage sind, verdächtige E-Mails zu erkennen, egal wie authentisch sie erscheinen; dass sie wissen, dass sie niemals Anhänge von unbekannten Absendern öffnen dürfen; und dass sie, wenn sie auch nur den geringsten Zweifel haben, die IT-Abteilung kontaktieren müssen, um sie nach den nächsten Schritten zu fragen.

Ein weiterer wichtiger Schritt ist die Einführung fortschrittlicher Cybersicherheitslösungen. Panda Adaptive Defense verfügt über eine Anti-Exploit-Technologie, die in der Lage ist, bösartige Skripte und Makros zu erkennen. Es analysiert auch kontinuierlich alle Systemaktivitäten sowie alle aktiven Anwendungen. Auf diese Weise, wenn es eine verdächtige oder ungewöhnliche Aktivität erkennt, kann es den Prozess stoppen und so verhindern, dass die Cyberbedrohung der Organisation Schaden zufügt.

Cyberkriminelle Bemühungen, in Organisationen einzudringen und Schutzmaßnahmen zu umgehen, werden nicht aufhören, sich zu entwickeln und immer anspruchsvoller zu werden. Deshalb ist es wichtig, dass Sie Ihre E-Mail, einen der beliebtesten Einstiegspunkte für Cyberkriminelle, im Auge behalten und über die neuesten Cybersicherheitstrends informiert sind.