Grundlage dieser Masche sind sogenannte Web Injects, eine Technik, bei der die Angreifer bösartigen Code in einer legitimen Webseite einfügen. Besucht ein Nutzer diese infizierte Website, wird eine gefälschte Aufforderung eingeblendet, dass ein Browser-Update heruntergeladen und installiert werden solle. Hinter diesem vermeintlichen Update steckt jedoch Malware, die sensible Daten stehlen oder weitere Malware installieren soll.
Hinter den Angriffen stecken laut den Sicherheitsforschern zwei Hackergruppen namens TA2726 und TA2727. TA2726 agiert hauptsächlich als Traffic-Verkäufer und bietet einen Redirection Service für andere Cyberkriminelle an. Dabei arbeiten die Cyberkriminellen offenbar auch mit weiteren Hackergruppen wie TA569 zusammen, die bereits seit geraumer Zeit für andere Kampagnen mit Fake-Updates verantwortlich sind. TA2727 hingegen verbreite laut Proofpoint selbst aktiv Malware via Fake-Updates, um Benutzer zu täuschen.
Interessant ist auch, dass TA2727 offenbar je nach Standort des Opfers unterschiedliche Malware ausliefert. In den USA und Kanada wurden die Benutzer auf die SocGholish-Installation geleitet. In Europa hingegen wurde Windows-Nutzern mit einer gefälschten Browser-Update-Aufforderung die Malware Lumma Stealer ausgespielt, während Android-Nutzer mit dem Banking-Trojaner Marcher angegriffen wurden.
Besonderes Augenmerk legen die Sicherheitsforscher in ihrem Bericht auch auf die neu entdeckte Malware FrigidStealer, die es auf Mac-Nutzer abgesehen hat. Der Angriff beginnt mit einer gefälschten Update-Nachricht, die den Nutzer zu einer bösartigen Datei umleitet. Wird diese angeklickt, installiert sie, getarnt als Browser-Update – sowohl bei Chrome als auch bei Safari – den Info Stealer. Die Malware sammelt dann heimlich sensible Daten wie Browser-Cookies, Dateien mit Passwörtern sowie Kryptowährungen und sogar Apple Notes, genau wie die kürzlich entdeckte neue Variante der XCSSET-Malware.
Die Malware ist in der Programmiersprache Go geschrieben und verwendet WailsIO, ein Framework, das das gefälschte Update-Fenster realistisch aussehen lässt. Außerdem umgeht sie die Gatekeeper-Sicherheitsfunktion des Mac, indem sie den Benutzer auffordert, mit der rechten Maustaste zu klicken und „Öffnen“ auszuwählen – ein üblicher Trick von Mac-Malware-Autoren.
Schutz vor derartigen Angriffen bietet ein gewisses Misstrauen gegenüber Dateien aus unbekannten Quellen – selbst, wenn diese sich als legitimes Update ausgeben. Vor der Installation und dem Klick auf Links und Dateien empfiehlt es sich außerdem, diese durch Websites wie VirusTotal oder Any.Run überprüfen zu lassen.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com ist das einzige in der DACH-Region, das ISO 27001-zertifiziert ist auf Basis von BSI IT-Grundschutz.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
