HP Inc. präsentiert den aktuellen HP Wolf Security Threat Insights Report. Dieser zeigt, dass Hacker ihre Angriffsmethoden zunehmend diversifizieren und QR-Code-Phishing-Kampagnen zunehmen. Die Isolierung von Bedrohungen auf PCs, die sich Erkennungstools entzogen haben, bietet HP Wolf Security einen besonderen[i] Einblick in die neuesten Techniken, die von Cyberkriminellen eingesetzt werden. Bis heute haben HP Wolf Security Kunden mehr als 25 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien angeklickt, ohne dass ein Sicherheitsverstoß gemeldet wurde.
Seit Februar 2022 verschärft Microsoft stetig die Sicherheitseinstellungen der Office Produkte, wodurch standardmäßig Makros in Office-Dateien blockiert wurden. Die vom HP Threat Research Team gesammelten Daten zeigen jedoch, dass Angreifer seit dem zweiten Quartal 2022 neue Wege suchen, um in Geräte einzudringen und Daten zu stehlen. Basierend auf den Daten von Millionen von Endgeräten, auf denen HP Wolf Security[ii] läuft, ergab die Untersuchung:
- Anstieg von QR-Scan-Betrug: Seit Oktober 2022 beobachtet HP fast täglich QR-Code-Scan-Betrug. Dabei werden Anwender dazu verleitet, QR-Codes von ihren PCs aus mit ihren mobilen Geräten zu scannen – möglicherweise, um den schwächeren Phishing-Schutz und die Erkennung auf solchen Geräten auszunutzen. Die QR-Codes leiten die Benutzer auf bösartige Websites weiter, auf denen Kredit- und Debitkartendaten abgefragt werden. Ein Beispiel aus dem vierten Quartal: Phishing-Kampagnen, bei denen sich Bedrohungsakteure als Paketzusteller ausgaben und Zahlungen verlangten.
- HP identifizierte einen Anstieg von 38 Prozent[iii]bei bösartigen PDF-Anhängen: Jüngste Angriffe nutzten in PDF-Dokumenten eingebettete Bilder, die auf verschlüsselte bösartige ZIP-Dateien verwiesen und so Web-Gateway-Scanner umgingen. Die PDF-Anweisungen enthielten ein Passwort, das Anwender eingeben mussten, um die ZIP-Datei zu entpacken. Mit Hilfe von QakBot- oder IcedID-Malware verschafften sich die Bedrohungsakteure im Anschluss Zugriff auf Systeme, die dann als Ausgangspunkte für die Verbreitung von Ransomware genutzt werden.
- 42 Prozent der Malware wurde über Archivdateien wie ZIP, RAR und IMG verbreitet: Die Verbreitung von Malware über Archivdateien ist seit dem ersten Quartal 2022 um 20 Prozent gestiegen, da Bedrohungsakteure zunehmend Skripte nutzen, um ihre Malware zu verbreiten. Im Vergleich dazu wurden 38 Prozent der Malware über Office-Dateien wie Microsoft Word, Excel und PowerPoint verbreitet.
„Malware-Vertreiber wie Emotet versuchen, die strengeren Makro-Richtlinien von Office mit komplexen Social-Engineering-Taktiken zu umgehen. Diese sind unserer Meinung nach jedoch weniger effektiv. Aber wenn sich eine Tür schließt, öffnet sich eine andere, wie die Zunahme von Scan-Betrug, Malvertising, Archiven und PDF-Malware zeigt“, erklärt Alex Holland, Senior Malware Analyst, HP Wolf Security Threat Research Team, HP Inc. „Anwender sollten auf E-Mails und Websites achten, die zum Scannen von QR-Codes und zur Preisgabe sensibler Daten auffordern, sowie auf PDF-Dateien, die auf passwortgeschützte Archivdateien verlinken.“
Im vierten Quartal identifizierte HP außerdem 24 populäre Softwareprojekte, die in Malvertising-Kampagnen nachgeahmt wurden und PCs mit acht Malware-Familien infizierten – im Vorjahr waren es nur zwei ähnliche Kampagnen gewesen. Die Angriffe zielen darauf ab, dass Benutzer auf Suchmaschinenwerbung klicken, die zu bösartigen Websites führen, die fast identisch mit den echten Websites sind.
„Die Methoden entwickeln sich weiter, doch Bedrohungsakteure setzen nach wie vor auf Social Engineering, um Benutzer am Endpunkt anzugreifen“, kommentiert Dr. Ian Pratt, Global Head of Security for Personal Systems, HP Inc. „Organisationen sollten eine starke Isolierung einsetzen, um die häufigsten Angriffsvektoren wie E-Mail, Web-Browsing und Downloads einzudämmen. Darüber hinaus sollten sie Lösungen zum Schutz von Anmeldeinformationen installieren. Diese warnen Anwender oder hindern sie daran, sensible Daten auf verdächtigen Websites preiszugeben. Dadurch wird die Angriffsfläche erheblich verringert und die Sicherheit verbessert.“
HP Wolf Security führt riskante Aufgaben wie das Öffnen von E-Mail-Anhängen, das Herunterladen von Dateien und das Anklicken von Links in isolierten, mikro-virtuellen Maschinen (Micro-VMs) aus, um Anwender zu schützen – darüber hinaus werden detaillierte Spuren von Infektionsversuchen erfasst. Die HP Technologie zur Anwendungsisolierung entschärft Bedrohungen, die anderen Security-Tools entgehen können, und bietet einzigartige Einblicke in neuartige Intrusionstechniken sowie das Verhalten von Bedrohungsakteuren.
Der vollständige Report findet sich hier. Weitere Informationen zu HP Wolf Security werden auf der kommenden Amplify Partner Conference vom 28. bis 30. März in Chicago geteilt.
[i] HP has specific insight into the latest cybercriminal techniques because it analyses real world malware samples in micro-virtual machines (micro-VMs), capturing detailed traces of attempted infections.
[ii] HP Security is now HP Wolf Security. Security features vary by platform, please see product data sheet for details.
[iii] As detailed in page 2 of the HP Wolf Security Q4 Threat Insights Report