Phishing durch manipulierte Links in RTF Files

RTF-basierte Phishing-Angreifer haben eine neue, raffinierte Technik entdeckt, die das @-Symbol und das Unicode-Zeichen \u200b (ein sogenannter Zero-Width-Space) verwendet, um schädliche Links zu verschleiern. Angreifer nutzen das Zero-Width-Space-Zeichen, um URLs zu verändern und visuell unsichtbar zu machen, sodass die gefälschten Links für Nutzer und viele automatisierte Sicherheitstools schwer erkennbar sind.

Beispielsweise könnte eine E-Mail oder ein Dokument einen harmlos wirkenden Link wie login@trustedbank.com anzeigen, der jedoch durch Einfügen von \u200b-Zeichen manipuliert wurde. Der tatsächliche Link führt zu einer bösartigen Seite, ohne dass der Nutzer dies erkennt.

Durch das Einfügen des Zero-Width-Space-Zeichens zwischen den Zeichen der URL, wie in login@tru​sted​bank.com, bleibt der Text optisch unverändert. Der Browser oder das E-Mail-Programm könnte den manipulierten Link jedoch anders interpretieren, was dem Angreifer ermöglicht, den Nutzer unbemerkt auf eine Phishing-Seite umzuleiten.

Diese Methode ist besonders gefährlich, da sie das Vertrauen in scheinbar legitime Links ausnutzt und es für gängige Sicherheitsmechanismen schwierig ist, die Manipulation zu erkennen. Die Analyse von Ironscales hebt die Notwendigkeit hervor, fortgeschrittene Erkennungsmethoden zu verwenden, um solche Angriffe zu identifizieren.

Weitere Details zu diesem Angriff und den Gegenmaßnahmen finden sich im Ironscales Blog.

Related Posts

BSI Bericht: Sicherheitslücken im Passwortmanager Vaultwarden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich eine detaillierte Codeanalyse des Open-Source-Passwortmanagers Vaultwarden durchgeführt. Dabei wurden vier Sicherheitslücken identifiziert, die das Vertrauen in die Sicherheit des Tools infrage stellen. Besonders schwerwiegend ist die unzureichende Schlüsselrotation sowie Schwächen bei der Trennung von Sitzungen, wodurch es Angreifern möglich sein könnte, auf sensible Informationen zuzugreifen. Zudem besteht ein Risiko durch HTML-Injection-Angriffe, die das Einschleusen bösartiger Inhalte ermöglichen könnten.

Read More

CVE-2024-9486: Sicherheitslücke bei Kubernetes Image Builder und Proxmox Provider

Eine kürzlich entdeckte Sicherheitslücke (CVE-2024-9486) betrifft den Kubernetes Image Builder in Versionen ≤ v0.1.37, wenn der Proxmox Provider verwendet wird. Bei der Erstellung von VM-Images werden Standardanmeldedaten aktiviert, die nicht deaktiviert werden, was Angreifern root-Zugriff auf betroffene Nodes ermöglichen kann. Betroffene Versionen sollten schnellstmöglich durch v0.1.38 oder neuere ersetzt werden. Bis dahin wird empfohlen, den “builder”-Account zu sperren. Mehr zur Schwachstelle finden Sie im zugehörigen Github Issue.

Read More

Konflikt um Advanced Custom Fields: der Streit zwischen WP Engine und Wordpress geht weiter

Am 12. Oktober 2024 erhob WP Engine schwere Vorwürfe gegen Matt Mullenweg, Gründer von WordPress, aufgrund einer mutmaßlichen Übernahme des Advanced Custom Fields (ACF)-Plugins. Laut WP Engine könnten Millionen bestehender ACF-Installationen durch Mullenwegs Eingreifen mit unautorisiertem Code aktualisiert werden, der nicht von den Experten des ACF-Teams geprüft wurde.

Read More