Hacker verwenden zunehmend bösartige HTML-E-Mail-Anhänge

Forscher des Sicherheitsunternehmens Barracuda warnen davor, dass Cyberangreifer vermehrt auf bösartige HTML-Dateien zurückgreifen. Demnach machen bösartige Dateien inzwischen die Hälfte aller per E-Mail versendeten HTML-Anhänge aus. Der Anteil hat sich damit im Vergleich zum Vorjahr verdoppelt und scheint nicht das Ergebnis von Massenangriffskampagnen zu sein, bei denen ein und derselbe Anhang an eine große Anzahl von Personen gesendet wird.

"Wenn es um Angriffstaktiken und -Tools geht, scheint die Tatsache, dass es etwas schon eine Weile gibt, die Wirksamkeit nicht zu beeinträchtigen", schreiben die Forscher in einem neuen Bericht. "Bösartige HTML wird immer noch von Angreifern verwendet, weil es funktioniert. Die richtigen Sicherheitsvorkehrungen sind heute so wichtig wie eh und je, wenn nicht sogar noch wichtiger."

Lesetipp: Drei neue Phishing-Methoden

Warum ist HTML bei Angreifern so beliebt?

HTML, die Standardauszeichnungssprache für die Darstellung von Webinhalten, hat viele legitime Verwendungszwecke in der E-Mail-Kommunikation. Beispielsweise erhalten Unternehmensanwender häufig Berichte, die von verschiedenen Anwendungen und Tools erstellt und per E-Mail versendet werden. Das macht die Nutzer nicht misstrauisch, wenn sie diese Art von Anhang sehen. Zudem kann der Anhangstyp von den E-Mail-Security-Filtern nicht gänzlich verboten werden.

HTML ist auch flexibel in Bezug auf die Angriffsarten, die damit möglich sind. Einer der häufigsten Anwendungsfälle ist das Phishing von Anmeldedaten. Dabei erstellen Angreifer HTML-Anhänge, die sich beim Öffnen als Anmeldeseite für verschiedene Dienste ausgeben. Dies kann auch dynamisch sein, wobei der HTML-Code ein JavaScript enthält, das den Benutzer auf eine Phishing-Website umleitet. Dabei kann es sich beispielsweise um eine E-Mail handeln, die wie eine automatische Benachrichtigung für ein DHL-Paket aussieht. Öffnet der Empfänger den HTML-Anhang, kann er eine Kopie der DHL-Anmeldeseite sehen.

In anderen Fällen enthalten die HTML-Anhänge Links und Köder, die den Benutzer dazu verleiten sollen, eine zweite Datei herunterzuladen, bei der es sich in Wirklichkeit um eine Malware handelt. Der Vorteil für die Angreifer besteht darin, dass diese Methode der Malware-Zustellung eine viel höhere Chance hat. Dadurch kann das E-Mail-Sicherheits-Gateway leichter umgangen werden, als wenn die Malware-Nutzlast direkt in einem Zip-Archiv oder in einem anderen Dateityp angehängt ist. Da der Benutzer darauf hereinfällt und dieser zustimmt, die Datei lokal auf seinen Computer herunterzuladen, liegt es an der Endpunkt-Schutzlösung, sie zu erkennen. Somit haben die Angreifer bereits die erste Verteidigungsschicht überwunden.

"In einigen Fällen, die wir beobachtet haben, enthält die HTML-Datei selbst jedoch ausgeklügelte Malware, die die gesamte bösartige Nutzlast in sich trägt, einschließlich potenter Skripte und ausführbarer Dateien", so die Barracuda-Forscher. "Diese Angriffstechnik wird immer häufiger eingesetzt als solche mit extern gehosteten JavaScript-Dateien.