Microsofts 365 Defender Threat Intelligence Team entdeckt Malware mit Morsecode

Das Microsoft 365 Defender Threat Intelligence Team hat in einer aktuellen Analyse eine neue Phishing-Malware entdeckt welche zur Verschleierung verschiedene Taktiken unter anderem ebenfalls Morsecode verwendet.

Malware wird immer ausgefeilter und nutzt verschiedene Methoden um sich vor Anti-Viren-Software und anderen Schutzmechanismen zu verstecken. Die neue Malware-Kampagne setzt dabei auf doppelte Dateiendungen wie ".XLS.HTML" um Nutzern vorzugaukeln, es handele sich um eine Exceldatei im Anhang. Windows versteckt bekannte Dateiendungen jedoch standardmäßig, deshalb ist es empfehlenswert, sich die Dateiendungen immer anzeigen zu lassen.

Wenn der Nutzer die vermeintliche Exceldatei öffnet, wird ihm eine verschwommene Exceldatei im Browser angezeigt. Diese wird durch einen Login-Screen in Microsoft-Office-365-Stil überlagert. Unter Umständen wird auch das Unternehmenslogo des Ziels eingesetzt. Wenn der Nutzer dann sein Kennwort eintippt – erhält er die Meldung. Dass Kennwort falsch war. In späteren Versionen wurde der Nutzer einfach auf Office.com umgeleitet um keinen Verdacht zu erregen.

Die HTML-Datei selbst ist in vier Segmente unterteilt die anschließend an den Angreifer übermittelt werden: die E-Mail-Adresse des Opfers, das Logo der Zielfirma aus verschiedenen Domains, ein Skript, das ein Bild eines unscharfen Dokuments lädt und einen Login-Timeout ausgibt und auch ein Skript, das den Nutzer zur Eingabe seines Passworts auffordert.

Die Phishing-Kampagne nutzt seit Juli 2020 verschiedene Verschleierungsmethoden, darunter auch Morsecode, Base64, ASCII oder HTML-Encoding. Die regelmäßige und dynamische Veränderung erschwert es automatisierten Mechanismen die Attacke zuverlässig zu erkennen.

Das Microsoft 365 Defender Threat Intelligence Team empfiehlt verschiedene Gegenmaßnahmen, ebenso wie beispielsweise das Herausfiltern von Mails mit doppelten Dateiendungen oder HTML-Dateien im Anhang. Auch das Aktivieren der Multi-Faktor-Authentifizierung (MFA) wird empfohlen. Dadurch erhält der Nutzer ein zweites temporäres Passwort per SMS, auf das ein Angreifer keinen Zugriff hat.

Phishing und Spam sind leider allgegenwärtig. Jeder kennt die Spam-Mail vom Nigerianischen Prinzen oder die vermeintliche Bank die welche auffordert, wichtige Dokumente schnellstmöglich einzureichen. Immer häufiger werden dabei Phishing-Webseiten genutzt um Zugangsdaten abzugreifen. Mehr Informationen zu den 10 häufigsten Phishing-Methoden finden sich in unserem Post dazu.