Als Browser-Update getarnte Malware

Aktuell läuft eine Kampagne, mit der Cyberkriminelle zu einem Update der Browser von Internet-Usern aufrufen. Klicken die Anwender auf den in die jeweilige gefälschte Webseite eingebundenen Update-Button, so installiert ihr System kein Browser-Update, sondern Malware. Die Angreifer sind laut Proofpoint vermutlich Mitglieder der Gruppe „Threat Actor 569“, die auch als „SocGholish“ bekannt ist.

Hier ein Beispiel einer gefälschten Website – in Deutsch (Screenshot: Proofpoint)

Im Rahmen der Kampagne versenden Angreifer E-Mails vor allem – aber nicht ausschließlich – an Mitarbeiter im Bildungswesen, in den Landesregierungen sowie der industriellen Fertigung. Dabei erhalten die Empfänger Nachrichten mit dem Hinweis, dass ihr Browser veraltet sei. Darüber hinaus enthält die Mail einen Link – angeblich zum Download der aktuellen Version des Browsers. Stattdessen wird jedoch auf eine sehr gut nachgebaute, also gefälschte Website umgeleitet, die mit Schadsoftware präpariert wurde, sogenannte HTML-Injects.

Diese Injects analysieren zunächst den geografischen Standort des PCs, das Betriebssystem und den Browser des Benutzers. Wenn die Umgebung des Benutzers bestimmte Bedingungen erfüllt, wird das Opfer zu einer gefälschten Browser-Aktualisierungsseite geleitet. Anschließend soll der Anwender ein Skript zu Aktualisierung starten. Sobald dieses Skript ausgeführt wird, legt es für das System eine Art Fingerabdruck an und lädt in einem weiteren Schritt Malware herunter. Die bisher von den Cyberkriminellen eingesetzte Schadsoftware umfasst einen Banking-Trojaner (Chthonic) und/oder Fernsteuerungssoftware (NetSupport).

Zur Erläuterung: Chthonic ist eine Variante des Banking-Trojaners Zeus – NetSupport hingegen ist eine legitime Fernzugriffsanwendung, die jedoch oft von Cyberkriminellen missbraucht wird.

Proofpoint empfiehlt dringend, für Aktualisierungen die offizielle Website des jeweiligen Browser-Anbieters zu besuchen und/oder die automatischen Updates der Browser zu aktivieren. Darüber hinaus sollte der PC grundsätzlich mit entsprechender Sicherheitssoftware ausgestattet sein. Firmen und andere Organisationen sollten darüber hinaus ihre Mitarbeiter regelmäßig über die aktuelle Bedrohungslage informieren und sie mittels interaktiver Trainings für die Gefahren im Bereich Cybersicherheit sensibilisieren.

Weitere Informationen: im aktuellen Blogbeitrag von Proofpoint