Die meisten Computer-Nutzer kennen das Szenario: Man arbeitet mehrere Stunden an einem Dokument und dann hängt sich das Programm oder gleich der ganze Rechner auf. Nichts geht mehr und man kann nur hoffen, dass die Arbeit der letzten Stunden nicht umsonst war. In dieser Situation ist das Recovery Feature von Microsoft Word sehr praktisch. Öffnet man das Programm, fragt ein Pop-up, ob man die zuletzt genutzte Datei wiederherstellen möchte. So hat man im schlimmsten Fall nur die letzten Änderungen verloren, nicht aber das gesamte Dokument.
Doch nun nutzen Cyberkriminelle diese hilfreiche Funktion für ihre Phishing-Kampagne aus, wie Sicherheitsforscher von Any.Run berichten. Dazu versendeten die Angreifer absichtlich beschädigte Dateien, die angeblich aus der Lohnbuchhaltung oder der Personalabteilung stammen und sich mit Bonuszahlungen oder anderen Zusatzleistungen für Mitarbeitende befassen.
Die in dieser Kampagne verschickten Dokumente enthalten alle die base64-kodierte Zeichenfolge „IyNURVhUTlVNUkFORE9NNDUjIw“, die zu „##TEXTNUMRANDOM45##“ entschlüsselt wird. Beim Öffnen der Anhänge erkennt Word, dass die Datei beschädigt ist, meldet, dass es „unlesbaren Inhalt“ in der Datei gefunden hat, und fragt das Opfer, ob es diesen wiederherstellen möchte.
Das Perfide daran: Die Phishing-Dokumente sind so beschädigt, dass sie leicht wiederhergestellt werden können, aber von Sicherheitssoftware nicht erkannt werden. Im Dokument wird die Zielperson auffordert, einen QR-Code zu scannen, um ein weiteres Dokument abzurufen. Für zusätzliche Glaubwürdigkeit wird das Dokument mit dem Unternehmens-Logo des Opfers versehen. Durch das Scannen des QR-Codes wird der Benutzer allerdings auf eine Phishing-Website geleitet. Mit einer als Microsoft-Login getarnten Seite versuchen die Betrüger, die Anmeldedaten des Benutzers zu stehlen.
Der Einsatz von vorsätzlich beschädigten Word-Dokumenten ist ein neuer Trend im Vorgehen der Cyberkriminellen. Besonders gefährlich daran ist, dass aktuelle Sicherheitslösungen den schädlichen Inhalt der Dokumente meist nicht aufspüren können. So luden die Sicherheitsforscher beispielsweise entdeckte Dokumente bei VirusTotal hoch und nahezu alle Antivirenlösungen gaben grünes Licht oder konnten die Datei überhaupt nicht analysieren. Laut der Sicherheitsforscher könnte das auch daran liegen, dass keine Malware oder anderer schädlicher Code zum Dokument hinzugefügt wurde, sondern lediglich ein QR-Code.
Schutz vor derartigen Angriffen bieten die üblichen Regeln zum Umgang mit Phishing. Zum Beispiel sollten niemals Anhänge aus den E-Mails unbekannter Absender geöffnet werden. Darüber hinaus sollten keine persönlichen Daten auf Webseiten eingegeben werden, die man über Hyperlinks in E-Mails erreicht.
Bild (c) Gerd Altmann / Pixabay