Vorsicht vor vermeintlichen Browser-Updates

Proofpoint empfiehlt dringend, für Aktualisierungen die offizielle Website des jeweiligen Browser-Anbieters zu besuchen. [...]

Im Rahmen der aktuellen Kampagne versenden Angreifer E-Mails vor allem an Mitarbeiter im Bildungswesen, in den Landesregierungen sowie der industriellen Fertigung. (c) Pixabay
Im Rahmen der aktuellen Kampagne versenden Angreifer E-Mails vor allem an Mitarbeiter im Bildungswesen, in den Landesregierungen sowie der industriellen Fertigung. (c) Pixabay

Im Schatten der Berichterstattung über Hacker-Angriffe aus Russland auf Unternehmen aus dem Bereich der Impfstoffforschung gegen das SARS-CoV-2-Virus haben Cyberkriminelle eine Kampagne gestartet, die zu einem vermeintlichen Browser-Update aufruft. Dies haben die Experten des Cybersecurity-Spezialisten Proofpoint herausgefunden. Dabei wird jedoch kein Browser-Update installiert, sondern Schadsoftware. Betroffen sind dabei auch Anwender in Deutschland. Hinter der aktuellen Kampagne stehen vermutlich Angreifer der Gruppe TA569 (Thread Actor 569, auch bekannt als SocGholish).

Im Rahmen der aktuellen Kampagne versenden Angreifer E-Mails vor allem – aber nicht ausschließlich – an Mitarbeiter im Bildungswesen, in den Landesregierungen sowie der industriellen Fertigung. Dabei erhalten die Empfänger Nachrichten mit dem Hinweis, dass ihr Browser veraltet sei. Darüber hinaus enthält die Mail einen Link – angeblich zum Download der aktuellen Version des Browsers. Stattdessen wird jedoch auf eine sehr gut nachgebaute, also gefälschte Website umgeleitet, die mit Schadsoftware präpariert wurde, sogenannte HTML-Injects.

Diese Injects analysieren zunächst den geografischen Standort des PCs, das Betriebssystem und den Browser des Benutzers. Wenn die Umgebung des Benutzers bestimmte Bedingungen erfüllt, wird das Opfer zu einer gefälschten Browser-Aktualisierungsseite geleitet. Anschließend soll der Anwender ein Skript zu Aktualisierung starten. Sobald dieses Skript ausgeführt wird, legt es für das System eine Art Fingerabdruck an und lädt in einem weiteren Schritt Malware herunter. Die bisher von den Cyberkriminellen eingesetzte Schadsoftware umfasst einen Banking-Trojaner (Chthonic) und/oder Fernsteuerungssoftware (NetSupport).

Zur Erläuterung: Chthonic ist eine Variante des Banking-Trojaners Zeus – NetSupport hingegen ist eine legitime Fernzugriffsanwendung, die jedoch oft von Cyberkriminellen missbraucht wird.

Proofpoint empfiehlt dringend, für Aktualisierungen die offizielle Website des jeweiligen Browser-Anbieters zu besuchen und/oder die automatischen Updates der Browser zu aktivieren. Darüber hinaus sollte der PC grundsätzlich mit entsprechender Sicherheitssoftware ausgestattet sein. Firmen und andere Organisationen sollten darüber hinaus ihre Mitarbeiter regelmäßig über die aktuelle Bedrohungslage informieren und sie mittels interaktiver Trainings für die Gefahren im Bereich Cybersicherheit sensibilisieren.


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*