{"id":15345,"date":"2019-11-25T11:21:20","date_gmt":"2019-11-25T10:21:20","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=15345"},"modified":"2019-11-25T11:21:26","modified_gmt":"2019-11-25T10:21:26","slug":"netsupport-rat-installiert-sich-ueber-gefaelschte-update-benachrichtigungen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=15345","title":{"rendered":"NetSupport RAT installiert sich \u00fcber gef\u00e4lschte Update-Benachrichtigungen"},"content":{"rendered":"\n<p>Die Security-Analysten des Zscaler-ThreatLabZ-Teams konnten zwei Kampagnen aufdecken, bei denen Cyberkriminelle ahnungslose Nutzer dazu bringen wollen, einen Remote Access Trojaner (RAT) \u00fcber ein gef\u00e4lschtes Flash-Player- und ein Font-Update herunterzuladen. Ziel dieser Kampagnen ist es, b\u00f6sartige Redirector-Skripte in kompromittierte Content-Management-System-(CMS)-Plattformen einzuschleusen. <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"450\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Bild4.png\" alt=\"\" class=\"wp-image-15346\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Bild4.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Bild4-300x180.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><figcaption>Screenshot: Zscaler<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Die betroffenen Seiten basieren in der Regel auf beliebten Programmen, wie WordPress, Joomla, oder Drupal. Die Cyberkriminellen greifen \u00fcber Schwachstellen an, die sich in Plugins, Themes und Erweiterungen verstecken. Beide untersuchten Malware-Kampagnen liefern eine Payload aus die dazu dient, sensible Informationen zu stehlen. Die folgende Abbildung zeigt die Treffer gegen verschiedene Websites. Insgesamt hat das ThreatLabZ-Team in den letzten drei Monaten fast 40.000 dieser Angriffsversuche blockiert.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"165\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Bild1.png\" alt=\"\" class=\"wp-image-15347\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Bild1.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Bild1-300x66.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><figcaption> Abbildung 1: Die Anzahl der blockierten Attacken auf den verschiedenen CMS-Plattformen: WordPress (gr\u00fcn), Joomla (gold), Drupal (blau) und andere (orange) (Screenshot: Zscaler)<\/figcaption><\/figure>\n\n\n\n<p><strong>Angriffsmethode 1: Gef\u00e4lschte Flash Player Update-Kampagne<\/strong><\/p>\n\n\n\n<p>Bei diesem Angriff hackten Cyberkriminelle WordPress-Webseiten \u00fcber die Theme-Plugin-Schwachstelle und injizierten zwei b\u00f6sartige Redirect-Skripte in die betroffene Website. Durch die Verwendung eines der beiden Skripte bringen die Angreifer Malware auf der Benutzerseite aus. Das injizierte Skript leitet zur Betrugsseite weiter und l\u00e4dt das Skript f\u00fcr die gef\u00e4lschte Update-Vorlage herunter, um dem Benutzer eine gef\u00e4lschte Flash Player-Update-Warnung anzuzeigen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"352\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Bild2.png\" alt=\"\" class=\"wp-image-15348\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Bild2.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Bild2-300x141.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><figcaption> Abbildung 2: Eine kompromittierte WordPress-Webseite mit dem gef\u00e4lschten Flash Player Update-Hinweis (Screenshot: Zscaler)<\/figcaption><\/figure>\n\n\n\n<p><strong>Angriffsmethode\n2: Kampagne zur Aktualisierung gef\u00e4lschter Schriftarten<\/strong><\/p>\n\n\n\n<p>Bei diesem Angriff injizieren die Cyberkriminellen das Skript der gef\u00e4lschten Update-Vorlage direkt, indem sie die legitime Website ausnutzen, um der Erkennung zu entgehen. Die Template-Skriptlogik identifiziert den verwendeten Browser des Anwenders. Beim Zugriff auf die kompromittierte Website \u00fcber Chrome erh\u00e4lt der Benutzer eine Warnung, dass die Schriftart \u201aPT Sans\u2018 nicht gefunden wurde.\u00a0<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"349\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Bild3.png\" alt=\"\" class=\"wp-image-15349\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Bild3.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Bild3-300x140.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><figcaption> Abbildung 3: Die kompromittierte Seite mit einer gef\u00e4lschten Schriftarten-Update-Seite (Chrome) (Screenshot: Zscaler)<\/figcaption><\/figure>\n\n\n\n<p>RATs werden von Cyberkriminellen genutzt,\u00a0um\u00a0eine Hintert\u00fcr\u00a0im System des\u00a0Ziel-Unternehmens\u00a0zu etablieren\u00a0um dadurch aus der Ferne darauf zuzugreifen. In der heutigen digitalen Welt ist die Webseite ein wertvolles Gut, die das Unternehmen in der \u00d6ffentlichkeit pr\u00e4sentiert. Als solches gilt es, den Auftritt vor Angriffen zu sch\u00fctzen, die den Gesch\u00e4ftsbetrieb, Mitarbeiter oder Kunden einem Risiko aussetzen k\u00f6nnen. Zscaler hat in den vergangenen drei Monaten 40.000 der beschriebenen Angriffe in der Security Cloud blockiert.<\/p>\n\n\n\n<p>Weitere\nInformationen: <a href=\"https:\/\/www.zscaler.com\/blogs\/research\/netsupport-rat-installed-fake-update-notices\">https:\/\/www.zscaler.com\/blogs\/research\/netsupport-rat-installed-fake-update-notices<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Security-Analysten des Zscaler-ThreatLabZ-Teams konnten zwei Kampagnen aufdecken, bei denen Cyberkriminelle ahnungslose Nutzer dazu bringen wollen, einen Remote Access Trojaner (RAT) \u00fcber ein gef\u00e4lschtes Flash-Player- und ein Font-Update herunterzuladen. Ziel dieser Kampagnen ist es, b\u00f6sartige Redirector-Skripte in kompromittierte Content-Management-System-(CMS)-Plattformen einzuschleusen. <\/p>\n","protected":false},"author":1,"featured_media":15346,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4,37],"tags":[3737,6257,1177,7387,1308,12769,13144,1458,3238,13145,13142,36,13143,1107,6924,5551],"class_list":["post-15345","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-security","tag-chrome","tag-cloud","tag-cms","tag-drupal","tag-flash","tag-font","tag-joomla","tag-malware","tag-netsupport","tag-pt-sans","tag-rat","tag-sicherheit","tag-threatlabz","tag-update","tag-wordpress","tag-zscaler"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15345","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15345"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15345\/revisions"}],"predecessor-version":[{"id":15350,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15345\/revisions\/15350"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/15346"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15345"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15345"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15345"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}