• Link to Rss this site
  • Link to LinkedIn
  • Link to Youtube
  • Link to X
  • Link to Instagram
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
Sales: +49 5251 304-800 | Support: +49 5251 304-636
NoSpamProxy
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
  • LÖSUNGEN
    • M365 Mail Security
    • Managed Certificates
    • 32Guards
    • AS4
  • RESSOURCEN
    • Dokumentation
    • Forum
    • Webcasts
    • Schulungen
    • Support
    • Software-Download
  • PARTNER
    • Partner finden
    • Partner werden
    • Partnerportal
    • NFR-Lizenzen
  • UNTERNEHMEN
    • Kontakt
    • Referenzen
    • Team
    • Karriere
    • Events
    • Auszeichnungen
  • PREISE
  • BLOG
    • Blog
    • Newsletter-Abo
  • KOSTENFREI TESTEN
    • Preisanfrage stellen
    • Kostenfrei testen
  • Deutsch
    • English
  • Click to open the search input field Click to open the search input field Search
  • Menu Menu
  • MalDoc in PDF Gefahr durch in PDFs versteckte Word-Dateien

MalDoc in PDF: Gefahr durch in PDFs versteckte Word-Dateien

Stefan Feist | Technischer Redakteur
Autor: Stefan FeistTechnischer Redakteurhttps://www.linkedin.com/in/stefan-feist-23b257b0/–Auf LinkedIn vernetzen

Cyberkriminelle finden immer wieder neue Wege, ihre Schadsoftware zu verbreiten. Aktuell warnen Experten vor bösartigen Word-Dokumenten, die in PDF-Dateien eingebettet sind. In unserem Blogartikel erfahren Sie, was MalDoc in PDF ist und wie Sie sich schützen können.

08.09.2023|zuletzt aktualisiert:19.08.2024

Das japanische CERT (JPCERT) warnt zur Zeit vor einer kriminellen Technik namens “MalDoc in PDF”. Bei dieser Technik werden schädliche Word-Dokumente in PDF-Dateien versteckt, weshalb enthaltener Schadcode von vielen Analysetools nicht erkannt werden kann.

Eine Datei – zwei Dateiformate

Den Experten lag im vorliegenden Fall eine sogenannte polyglotte Datei vor – also eine Datei, die zwei unterschiedliche Dateiformate enthält und abhängig von der genutzten Anwendung als mehr als ein Dateityp interpretiert und ausgeführt werden kann.

Im Fall von MalDoc in PDF wird die schädliche Datei von den meisten Programmen als PDF erkannt, von Office-Programmen aber als Word-Dokument (.doc, .docx). Dies ist möglich, weil die Datei eine PDF-Struktur aufweist, inklusive der magischen Zahlen.

JPCERT hat das folgende Video auf YouTube veröffentlicht, um zu zeigen, wie MalDoc in PDF unter Windows aussieht:

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Makros laden Schadcode herunter

In den untersuchten Fällen enthält die PDF-Datei ein Word-Dokument mit einem VBS-Makro als MHT (MIME Encapsulation of Aggregate HTML Documents) an, also als vermeintliches Archiv von HTML-Seiten. Dieses Makro führt zum Herunterladen und Installieren einer verseuchten MSI-Datei. Weil Virenscanner nur das PDF-Dokument erkennen, kann der Schadcode verteilt werden – zumindest, wenn Makros in Word nicht deaktiviert sind. Konfigurierte Makrosperren umgeht der Angriff nicht.

Die schädlichen Makros werden ebenso nicht ausgeführt, wenn die Datei in PDF-Readern oder ähnlicher Software geöffnet wird.

Die Sicherheitsforscher schreiben, dass sie MalDoc in PDF zum ersten Mal in einem Angriff im Juli 2023 erkannt haben. Informationen zur Art der Malware liegen aktuell aber noch nicht vor.

Was NoSpamProxy-Kunden jetzt tun müssen

NoSpamProxy-Kunden sind vor MalDoc in PDF geschützt, wenn der Inhaltsfilter entsprechend konfiguriert ist – und das ist ganz einfach.

MalDoc in PDF erkennt NoSpamProxy als unlesbares PDF-Dokument. Um diese Dateien abzuweisen, müssen Sie lediglich einen entsprechenden Inhaltsfilterset-Eintrag in Ihrem Inhaltsfilter erstellen.

Wählen Sie als Bedingungen

  • den Dateityp Unlesbares PDF-Dokument sowie
  • die Dateinamen *.doc und *.docx.

Einstellen der erforderlichen Bedingungen in NoSpamProxy Server

MalDoc in PDF Conditions DE

Einstellen der erforderlichen Bedingungen in NoSpamProxy Cloud

MalDoc in PDF Conditions Cloud DE

Weisen Sie mit Hilfe der entsprechenden Inhaltfilteraktionen alle E-Mails dieses Typs ab. Stellen Sie dabei sicher, dass der entsprechende Inhaltsfilterset-Eintrag über anderen Einträgen mit Office-Bezug stehen:

Reihenfolge der Inhaltsfilterset-Einträge in NoSpamProxy Server

Der entsprechende Inhaltsfilterset-Eintrag muss über anderen Einträgen mit Office-Bezug stehen:

MalDoc in PDF Content Filter Set Entry DE

Reihenfolge der Inhaltsfilterset-Einträge in NoSpamProxy Cloud

Der entsprechende Inhaltsfilterset-Eintrag muss über anderen Einträgen mit Office-Bezug stehen:

MalDoc in PDF Content Filter Set Entry Cloud DE

Auch 32Guards schützt vor MalDoc in PDF

Ab sofort ist zudem eine entsprechende Erkennung in 32Guards aktiv, bei der die beschriebene Kombination aus Dateityp und Dateinamen mit 4 SCL-Punkten belegt wird.

Schutz vor Maldoc: Mit NoSpamProxy Protection

Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Malware-Angriffen. Sie haben NoSpamProxy noch nicht im Einsatz? Fordern Sie jetzt Ihre kostenfreie Testversion an!

NoSpamProxy kostenfrei testen
  • teilen 
  • teilen 
  • teilen 
  • E-Mail 

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files

Sie benötigen Unterstützung?

Weitere Informationen rund um NoSpamProxy finden Sie in unserer Dokumentation und im Forum.

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates
Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de

NoSpamProxy-Newsletter

Jetzt abonnieren
RSS Feed Logo RSS Feed Logo Subscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Preisanfrage
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • Warum Sie ARC in NoSpamProxy jetzt aktivieren sollten Preview
    Warum Sie ARC in NoSpamProxy jetzt aktivieren sollten11.07.2025 - 12:07
  • SVG-Dateien im E-Mail-Anhang: Gefahr durch Schadcode Preview
    SVG-Datei im E-Mail-Anhang: Gefahr durch Schadcode04.07.2025 - 10:00
  • NoSpamProxy Update Banner
    NoSpamProxy Cloud Juni-Update: Rollout gestartet30.06.2025 - 06:00
IMPRESSUM • EULA • Datenschutzerklärung •  • © 2025 Net at Work GmbH
  • Link to Rss this site
  • Link to LinkedIn
  • Link to Youtube
  • Link to X
  • Link to Instagram
Link to: NIS2 – Was die Richtlinie für Sie bedeutet Link to: NIS2 – Was die Richtlinie für Sie bedeutet NIS2 – Was die Richtlinie für Sie bedeutetNIS2 Network and Information Systems Directive Preview Link to: Neue SwissSign-MPKI: Was Sie jetzt tun müssen Link to: Neue SwissSign-MPKI: Was Sie jetzt tun müssen Info IconNeue SwissSign-MPKI: Was Sie jetzt tun müssen
Scroll to top Scroll to top Scroll to top