Microsoft Word: Phishing-Angriff nutzt Dateireparatur aus

Cyberkriminelle hebeln Sicherheitssysteme mit einer raffinierten Masche aus: Sie verschicken absichtlich beschädigte Word-Dokumente, die von Virenscannern übersehen werden. Die Dateien lassen sich problemlos wiederherstellen – und werden so zur Falle für Anmeldedaten.

Sicherheitsforscher haben eine neuartige Phishing-Kampagne entdeckt, die Microsofts eigene Dateireparatur-Funktion missbraucht. Die Angreifer versenden E-Mails mit korrupten Word-Dokumenten, die gezielt so beschädigt sind, dass automatische Sicherheitsscanner sie nicht analysieren können. Für den Nutzer bleiben sie jedoch in der Word-Anwendung problemlos wiederherstellbar.

Diese clevere Taktik stellt eine bedeutende Weiterentwicklung der Phishing-Techniken dar. Was wie ein harmloser Dateifehler aussieht, entpuppt sich als Einfallstor für Datendiebstahl.

Payroll-Mails als Köder

Die von der Sicherheitsfirma Any.Run erstmals identifizierte Kampagne tarnt sich meist als Kommunikation der Lohn- und Personalabteilung. Mit Betreffzeilen zu Jahresboni, Quartalsergebnissen oder anderen finanziellen Anreizen locken die Nachrichten Mitarbeiter dazu, die angehängte Datei zu öffnen.

Beim Öffnungsversuch zeigt Word eine Standard-Meldung an: Das Programm habe „unlesbaren Inhalt“ gefunden und bittet um Erlaubnis, den Dokumentinhalt wiederherzustellen. Dieser scheinbar harmlose Vorgang ist der Schlüssel zum Erfolg des Angriffs.

Kalkulierte Korruption umgeht Schutzwälle

Die eigentliche Innovation liegt in der Fähigkeit, traditionelle E-Mail-Sicherheitssysteme zu umgehen. Die meisten Sicherheitslösungen können korrupte Dateitypen nicht ordnungsgemäß scannen und analysieren. Folglich werden diese bösartigen Anhänge oft als „sauber“ eingestuft oder gar nicht erkannt – sie landen direkt im Posteingang der Mitarbeiter.

Die Beschädigung ist präzise berechnet: gerade schwerwiegend genug, um Sicherheitssoftware zu täuschen, aber nicht so stark, dass Microsoft Word sie nicht reparieren kann. Laut Any.Run enthalten alle Dokumente dieser Kampagne eine spezifische base64-kodierte Zeichenfolge: „IyNURVhUTlVNUkFORE9NNDUjIw“. Sie hilft bei der Identifizierung dieser koordinierten Angriffe.

Gewährt der Nutzer die Erlaubnis zur Wiederherstellung, öffnet sich das Dokument und offenbart die nächste Stufe der Phishing-Falle.

QR-Codes führen in die Falle

Nach erfolgreicher Wiederherstellung enthält das Word-Dokument nicht die erwarteten Finanzinformationen. Stattdessen zeigt es typischerweise eine mit dem Firmenlogo versehene Seite, die den Nutzer anweist, einen QR-Code zu scannen, um das vollständige, gesicherte Dokument zu erhalten.

Diese Methode – „Quishing“ genannt – verlagert den Angriffsvektor vom Computer auf das mobile Gerät und erschwert die Erkennung zusätzlich. Der QR-Code führt zu einer Phishing-Website, die ein Microsoft-365- oder anderes Unternehmens-Portal täuschend echt nachahmt.

Ahnungslose Opfer werden aufgefordert, ihre Anmeldedaten einzugeben, um das angebliche Dokument zu betrachten. Diese sensiblen Informationen landen direkt bei den Angreifern und verschaffen ihnen Zugang zu Nutzerkonten und potenziell zum gesamten Firmennetzwerk.

Anzeige: QR-Codes verlagern Phishing aufs Smartphone – und genau dort fehlen oft entscheidende Schutzmaßnahmen. Viele Android-Nutzer übersehen diese 5 Schritte, die WhatsApp, Online‑Banking und Co. zuverlässig absichern – ganz ohne teure Zusatz‑Apps. Sichern Sie sich den kostenlosen Ratgeber mit leicht verständlichen Schritt‑für‑Schritt‑Anleitungen. Jetzt das kostenlose Android‑Sicherheitspaket herunterladen

Bedrohungslandschaft im Wandel

Die Nutzung korrupter Dateien ist Teil eines breiteren Trends: Angreifer entwickeln kontinuierlich neue Methoden, um immer ausgefeiltere Sicherheitsmaßnahmen zu umgehen. Phishing bleibt eine der effektivsten Methoden für Cyberkriminelle, um in Unternehmensumgebungen einzudringen.

Besonders alarmierend ist der Einsatz von QR-Codes, da er URL-Scanner und Analyse-Tools umgeht, die in E-Mail-Sicherheitssystemen üblich sind. Durch die Verlagerung des bösartigen Links auf einen QR-Code zwingen Angreifer Nutzer, ein separates Gerät zu verwenden – meist ein Smartphone, das möglicherweise nicht denselben Unternehmensschutz genießt.

Abwehrstrategien für Unternehmen

Sicherheitsexperten warnen, dass diese Technik aufgrund ihrer hohen Erfolgsquote wahrscheinlich von anderen Bedrohungsakteuren übernommen wird. Während sich Sicherheitsanbieter anpassen, um intentionell beschädigte Dateien zu erkennen, werden Angreifer ihre Methoden weiter verfeinern.

Unternehmen sollten Mitarbeiter für diese modernen, geräteübergreifenden Bedrohungen sensibilisieren. Jedes unerwartete Verhalten – etwa eine Datei, die eine Wiederherstellung benötigt – sollte als Warnsignal betrachtet werden.

Mitarbeiter müssen lernen, Anfragen zum Scannen von QR-Codes für Dokumentzugriff kritisch zu hinterfragen und die Legitimität über separate Kommunikationskanäle zu verifizieren. Eine robuste Zwei-Faktor-Authentifizierung bietet zusätzlichen Schutz und verhindert, dass gestohlene Anmeldedaten allein zum Einbruchstor werden.