Libraesva, ein auf E-Mail-Sicherheit spezialisiertes Unternehmen, schlägt „Alarm wegen eines neuen Trends bei Cyberangriffen die auf den PCs der Benutzer ausgelöst werden, indem Makros in Excel aktiviert werden.
Libraesva, ein auf E-Mail-Sicherheit spezialisiertes Unternehmen, hebt das Alarmniveau für einen neuen Trend von Cyberangriffen andie auf den PCs der Benutzer ausgelöst werden, indem Makros in Excel aktiviert werden. „Es ist nichts Neues, dass Funktionen des Office-Pakets als Einfallstore für böswillige Akteure genutzt werden, aber unsere jüngsten Analysen zeigen einen zunehmenden Trend von Hackern, bösartigen Code speziell für eine der ältesten Excel-Funktionen einzufügen – das Makro-Formular, auch bekannt als XLM-Makroälteste Excel-Funktionen – das Makro-Formular, auch bekannt als XLM-Makro. Beunruhigend ist auch die Tatsache, dass dieser bösartige Code nicht von 90 % der Antivirenprogramme abgefangen wird“, erklärt Rodolfo Saccani, R&D Security Managerdes Unternehmens.
Excel ist ein allseits bekanntes Werkzeug des Office-Pakets, das privat und vor allem geschäftlich weit verbreitet ist, z. B. für Berechnungen, Prognosen und Budgets. Mit der Weiterentwicklung der Microsoft-Lösungen im Laufe der Zeit wurden einige Funktionen der ersten Versionen beibehalten und werden daher auch heute noch unterstützt, die sich nun als interessant für Angreifer erweisen, die sie als Zugangsvektorenzu den IT-Systemen der Benutzer und damit zur Verbreitung bösartiger Kampagnen nutzen.
Die in allen Excel-Versionen vorhandene Makro-Formular-Funktion wird verwendet, um einen Dropper zu liefernder verschiedene Arten von Malware aufnehmen kann, darunter Trojaner, Viren usw., und sich somit an ständig wechselnde böswillige Absichten anpassen lässt. Technisch gesehen, wenn der Benutzer die Aufforderung ‚MAKR AKTIVIEREN‘ aktiviertwenn der Benutzer die Aufforderung ‚MAKR AKTIVIEREN‘ aktiviert, erstellt der bösartige Code eine Formel, indem er Daten aus vielen verschiedenen Zellen sammelt und einige Transformationen in der Kodierung vornimmt, die schwer zu identifizieren sind. Dann wendet er die Formel mithilfe der Deklaration FORMULA.FILL an.
Weniger die spezifische Art der Malware, sondern das Angriffsmuster wird bei Libraesva untersucht, unter der Annahme, dass für per E-Mail gelieferte Dokumente niemals eine Ausführung erlaubt sein sollte und somit jeder Verdacht in der QuickSand Sandbox zur Analyse blockiert wird.
Dieses Phänomen des Excel-Angriffsbegann sich zu zeigen Anfang Maiund dauert seitdem unaufhörlich an. „In den EsvaLabs haben wir zwischen April und Mai eine Veränderung der Angriffsmethoden festgestellt: Im ersten Monat bevorzugten die Hacker die Einfügung von Code in Dropper, der von Antivirenfiltern leichter erkannt werden konnte. Im Mai enthielten die Inhalte dieser ‚Trojaner‘ stattdessen Träger immer neuer und vielfältigerer Angriffsformen präzisiert der Manager. Da der bösartige Code vom Benutzer ausgelöst wirdwenn er die Makroaktivierung in Excel zulässt, ist leicht zu verstehen, warum selbst die gängigsten Sicherheitsfilter die potenzielle Bedrohung nicht sofort erkennen können, wodurch E-Mails, die sie enthalten, durchgelassen und somit in den Posteingang des Endbenutzers gelangen.
„E-Mails bleiben der bevorzugte Vektor für Cyberkriminelle, um die Sicherheit und den Ruf von Unternehmen, Kreditinstituten und Privatpersonen zu untergraben. Dies belegen die vielen Kampagnen, die wir täglich in den EsvaLabs abfangen, nicht zuletzt die Massen-Phishing-Kampagnedie italienische Nutzer in diesen Monaten des Lockdowns aufgrund von Covid-19betraf, bei denen dieses Thema von Angreifern genutzt wurde, um Benutzer dazu zu verleiten, Anhänge oder Links in scheinbar harmlosen E-Mails zu öffnen, und wie man sich vorstellen kann, von großem Informationsinteresse, um die Absichten des Diebstahls von Anmeldeinformationen und persönlichen Daten zu realisieren.kommentiertPaolo Frizzi, CEO von Libraesva. „Es ist wichtig, erneut zur Vorsicht aufzurufen und auf größte Aufmerksamkeitbei E-Mail-Mitteilungen zu achten, sowohl in Form als auch Inhalt, insbesondere bei Anhängen, auch wenn diese von bekannten Absendern stammen. Die Beweise zeigen nämlich, dass wir leider die ersten „Partner“ der Angreifer sind wir selbst, einzelne Nutzer der E-Mail, die mit einem einfachen Klick – in diesem Fall die Aktivierung einer Makroformel in Excel – die Bombe gegen unsere eigenen Systeme auslösen, ohne es zu wissen“.
Pubblicato in Anleitungen & Tutorials
Hinterlasse jetzt einen Kommentar