Seit der Ankündigung von Microsoft Anfang des Jahres, Makros aus dem Internet zu blockieren, zeigt sich in der Cyberkriminalität der Trend, Archiv-Formate oder Disk-Images für die Infiltration von Systemen mit Malware zu verwenden. Einfallstor Nummer eins ist dabei nach wie vor die E-Mail.

Im Februar dieses Jahres kündigte Microsoft an, dass es Makros aus dem Internet standardmäßig blockieren würde. Solche Makros werden seit Jahren von Angreifern missbraucht, um Malware zu übermitteln. Während die Sicherheits-Community spekulierte, dass Angreifer aufgrund der Entscheidung von Microsoft auf alternative Formate ausweichen würden, hat Sophos diese Tatsache anhand seiner Telemetriedaten bereits bestätigt.

Von April bis September dieses Jahres hat Sophos einen starken Rückgang der Anzahl schädlicher DOC-, DOCM-, XLS- und XLSM-Dateien festgestellt – vier beliebte Office-Formate für die Verbreitung schädlicher Makros.

Gleichzeitig war bis Mitte Juni ein stetiger Anstieg der Verwendung obskurer Archivformate (ACE, ARJ, XZ, GZ oder LZH) und ab September ein starker Anstieg der gängigeren Archivformate (ZIP, 7Z, CAB, TAR und RAR) zu verzeichnen. Auch die Verwendung von Disk-Image-Formaten (ISO, VHD und UDF) für die Verbreitung von Malware hat stetig zugenommen.

Disk-Image-Formate sind für Bedrohungsakteure besonders attraktiv, weil sie Microsofts neue "Mark of the Web"-Funktion (MOTW) umgehen. Microsoft verwendet MOTW, um festzustellen, ob ein Makro aus dem Internet stammt oder nicht; ist dies der Fall, wird es automatisch blockiert.

Sicherheitsprodukte sollten außerdem in der Lage sein, mehrere Archiv- und Disk-Image-Formate zu entpacken, darunter auch unbeliebte Formate, um diese Anhänge ordnungsgemäß auf Malware zu untersuchen. Um die Risiken weiter zu minimieren, können E-Mail-Filter so konfiguriert werden, dass bestimmte Dateiformate standardmäßig blockiert werden. Denn E-Mails zählen nach wie vor zu den Hauptangriffsvektoren.

Chester Wisniewski, Principal Research Scientist bei Sophos, sagt: "Wir geben schon seit Jahren dieselben Ratschläge für die E-Mail-Sicherheit. Dinge wie ‚Klicken Sie nicht auf diesen Link‘ oder ‚Öffnen Sie keine gefährlichen Attachments‘. Die Realität ist, dass sich die Cybersicherheitslandschaft ständig verändert. Es ist unwahrscheinlich, dass Cyberkriminelle Makros vollständig aufgeben werden, denn sie passen sich mit hoher Wahrscheinlichkeit an diese neuesten Sicherheitsmaßnahmen von Microsoft an. Die Unternehmen sollten das Gleiche tun. Eine gute E-Mail-Sicherheit muss zentral verwaltet werden, wobei sich die Sicherheitsteams auf die technischen Aspekte konzentrieren, z. B. darauf, welche Dateierweiterungen gefährlich sind. Zudem gilt es die Benutzer zu schulen, wie sie vermeiden können, auf das trickreiche Social Engineering der Cyberkriminellen hereinzufallen.“

Weitere Informationen über die Umstellung von Makros auf Disk-Images und Archivformate finden sich in englischer Sprache auf Sophos.com.

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Ariane Wendt
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel