Neue Malware-Methode – PDF-Dateien betroffen

maldoc-pdf-main

Die Gefahren durch eine Malware sollten durch die öffentlich gemachten Schadensfälle, zumindest in Unternehmen, allseits bekannt sein, und jeder einzelne Mitarbeiter durch eine geschulte und kontinuierlich trainierte Security Awareness sensibilisierter E-Mails und Dateien öffnen. Nicht nur Sicherheitsupdates sind von großer Bedeutung, sondern auch Informationsupdate hinsichtlich neu aufkommender Strategien von Cyberkriminellen sind wichtig, nicht nur für IT- und Sicherheitsverantwortliche. In diesem Artikel informieren wir über eine frisch entlarvte Malware-Technik, um Schadsoftware auf Geräte einzuschleusen.

Neue Malware-Technik entdeckt

Das Ziel einer Malware bzw. Schadsoftware / Schadprogramm ist es unentdeckt zu bleiben, um so lang wie möglich, als blinder Passagier auf den Geräten, Schaden anzurichten, z.B. um sensible Informationen unbemerkt weiterzuverteilen. Sobald Sicherheitsprogramme Malware entdeckt haben, werden die Sicherheitslücken meist schnell geschlossen oder zumindest die Unternehmen und Mitarbeiter über die neuen Risiken informiert. Entsprechend müssen sich auf Cyberkriminelle immer wieder neue Wege einfallen lassen und ein neuer Ansatz für eine Malware-Attacke scheint wohl über PDF-Dateien zu gehen.

Dieser Hinweis kommt von der JPCERT /CC. nach der Analyse eines Cyberangriffes im Juli 2023. Die japanische Organisation begann schon vor der Gründung 1992 mit den ersten Aktivitäten, und wurde 1996 gegründet, um die Zusammenarbeit der Netzwerkdienstanbietern, Sicherheitsanbietern, Regierungsbehörden und Branchenverbänden zu koordinieren.

MalDoc in PDF

maldoc in pdfDas Prinzip dieser Malware-Attacke ist es, ein schädliches Word-Dokument in eine PDF-Datei einzubetten und somit zu verstecken, weshalb die IT-Forscher diese Art von Cyber-Attacke den Namen „MalDoc in PDF“ gegeben haben. Als PDF-Datei getarnt, erkennen viele Anti-Virenprogramme und Analysetools die Schadsoftware nicht, da bislang diese Sicherheitslösungen davon ausgehen, dass eine PDF-Datei nicht selbstständig Schadfunktionen ausführt.

Die Raffinesse dieser Cyber-Attacke liegt darin, dass sich die PDF-Datei, trotz der Dateiendung „.pdf“, in Word öffnen, und somit die Schadfunktionen über Makros ausgeführt werden können.

Tipp: Nutzen Sie die Möglichkeit eine automatische Makrosperre einzustellen, da diese z.B. im analylisierten Cyberangriff, nicht ausgehebelt wurde.

Es besteht Hoffnung, dass sich der Schaden dieser Methode in Grenzen hält, da diese bösartige Dateien, um schädliche Aktivitäten durchführen zu können, das Öffnen der Microsoft-Office-Software, aufgrund der Makro-Ausführung, benötigen. In gängigen PDF-Viewer lassen sich diese Makro nicht ausführen.

Hinweis: Mit hoher Wahrscheinlichkeit werden diese Schadprogramme von den gängigen Antivirus-Softwarelösungen nicht erkannt, da diese Dateien in ihrer technischen Grundstruktur, eine PDF-Struktur vortäuschen. Weitere technischen Details dazu inklusive Screenshot finden Sie in diesem Blogartikel der JPCERT/CC.

Achtsamkeit als Allzweckmittel gegen Malware-Angriffe

Das Risiko, sich einen Computerwurm bzw. einen Trojaner einzufangen und Schadprogramme ihr jeweiliges Ziel erreichen, wird stetig größer. Die Digitalisierung öffnet nicht nur Unternehmen und privaten Anwendern Chancen, sondern bietet Angreifern immer wieder neue Sicherheitslücken an. Diese kontinuierlichen Sicherheitsrisiken und Bedrohungen können zwar durch Sicherheitslösungen angegangen werden, doch wie die neue Malware-Technik aufzeigt, kann auch der Mensch, als Human Firewall, einen großen Anteil dazu beitragen, Schäden zu vermeiden.

Tipp: Wenn sich eine PDF-Datei bei Ihnen automatisch in Word öffnet, brechen Sie das Öffnen der Datei sofort ab und informieren Sie Ihre IT-Abteilung über den Vorfall, um die Datei beispielsweise durch das Analysetool OLEVBA untersuchen zu lassen. Eventuell hat aus dem Kollegium schon jemand die Datei geöffnet und eine gute getarnte Schadsoftware arbeitet schon als Schläfer im Unternehmensnetzwerk, indem Informationen gesammelt und verteilt werden.

Malware ist nicht die einzige Gefahr für Cyberangriffe

Trojaner, Viren oder auch Computerwürmer genannt, kommen, wie die analysierte Malware-Methode aufzeigt, gut getarnt, meist durch die Hintertüre. Dabei ist der einzelne und erkannte Angriff nicht die größte Herausforderung. Die Herausforderung besteht darin, die Bedrohung zu erkennen, sprich zu wissen, ob ein Computer, ein Netzwerk oder ein Smartphone schon mit Würmern, Viren oder Trojanern infiziert ist. Oft bleiben Schläfer viele Tage, Wochen oder auch Monate unentdeckt und richten in dieser Zeit schon großen Schaden an, z.B. als Teil eines „Botnets“. Ist Ihr Gerät Teil eines Botnets, so wird Ihr Computer, Netzwerk oder Smartphone teilweise ferngesteuert und hilft dabei Schadsoftware zu verbreiten, z.B. in Ihrem Kunden- oder Freundeskreis.

Welche Arten von digitalen Bedrohungen und Infektionen gibt es?

  • Es gibt Würmer und Viren, die Schad­programme verteilen. Der Unterschied ist, dass Würmer im Gegensatz zu Viren keine fremden Dateien infizieren.
  • Ein Trojaner kann als eine angeblich nützliche Software getarnt sein, mit oder ohne Werbung (Adware). In vielen Fällen erfolgt unbemerkt ein externer Zugriff, durch das freiwillig installierte Tool (Prinzip vom Trojanischem Pferd).
  • Würmer, die speziell die Aufgabe haben, die persönliche Daten und Passwörter zu sammeln, nennt man Spyware. Neben dem Datenklau, wird oft auch das Internetverhalten des jeweiligen Gerätes dokumentiert.
  • Eine andere Methode, um an Daten zu gelangen, ist das Vortäuschen eines angeblich vorhandenen Sicherheits­problem auf dem Gerät. Dies nennt man Scareware und dient dazu, angebliche Sicherheitssoftware zu verkaufen.
  • Cerberus hat das Vorhandensein von Ransomware durch seine Durchdringung bekannt gemacht. Die Dateien eines Gerätes werden verschlüsselt und ohne Lösegeld soll das Gerät nicht mehr zu nutzen sein.
  • Kostenlose Software, die mit Werbung finanziert ist, kann auch gefährlich sein (Adware). Daher ist kostenlos nicht immer die beste Wahl, sondern erhöht in vielen Fällen auch das Sicherheitsrisiko.

10 Tipps für mehr Sicherheit auf Ihren Geräten

  • Halten Sie Ihren Virenscanner durch die aktuellen Softwareupdates auf dem Laufenden.
  • Führen Sie regelmäßig einen vollständigen Virenscan durch und vertrauen Sie nicht nur die Überprüfung aktuell genutzter Dateien (Live-Scans).
  • Halten Sie alle Anwendungen und jegliche genutzte Software auf dem aktuellen Versionsstand.
  • Deinstallieren Sie Softwarelösungen, die Sie nicht mehr nutzen.
  • Installieren Sie die aktuellen Sicherheitsupdates Ihres Betriebssystems.
  • Kontrollieren Sie regelmäßig Ihre Netzwerkfreigaben, sodass diese eingeschränkt oder wenn möglich deaktiviert sind.
  • Installieren Sie eine Desktop-Firewall, um jederzeit eine virtuelle Downloadkontrolle zu haben, beispielsweise im Microsoft-Umwelt die Windows Defender Firewall.
  • Arbeiten Sie auf Ihrem Gerät mit einem Benutzerprofil, das keine Adminrechte hat.
  • Überprüfen Sie die Quelle, den Herausgeber bzw. den Hersteller der Programme, welche Sie downloaden möchten.
  • Machen Sie sich zum Link-Detektiv und klicken Sie nicht nur einfach Links in E-Mails oder auf Internetseiten an, sondern schauen Sie in der Linkvorschau vorab, wohin der Link führt, so vermeiden Sie Phishing-Attacken.

Auf dem Laufenden bleiben

Mit einer Anti-Spam-Garantie und dem kostenlosen Informationsservice informieren wir Sie, gemäß Ihrer Themenauswahl kompakt über weitere Projekt- und Praxisbeispiele. Wählen Sie hierzu einfach Ihre Interessen und Themen aus: https://www.it-wegweiser.de/infoservice/