{"id":16853,"date":"2020-08-12T11:50:00","date_gmt":"2020-08-12T09:50:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=16853"},"modified":"2020-07-20T11:07:30","modified_gmt":"2020-07-20T09:07:30","slug":"als-browser-update-getarnte-malware","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=16853","title":{"rendered":"Als Browser-Update getarnte Malware"},"content":{"rendered":"\n

Aktuell l\u00e4uft eine Kampagne, mit der Cyberkriminelle zu einem Update der Browser von Internet-Usern aufrufen. Klicken die Anwender auf den in die jeweilige gef\u00e4lschte Webseite eingebundenen Update-Button, so installiert ihr System kein Browser-Update, sondern Malware. Die Angreifer sind laut Proofpoint<\/a> vermutlich Mitglieder der Gruppe \u201eThreat Actor 569\u201c, die auch als \u201eSocGholish\u201c bekannt ist.<\/p>\n\n\n\n

\"\"
Hier ein Beispiel einer gef\u00e4lschten Website \u2013 in Deutsch (Screenshot: Proofpoint)<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Im Rahmen der Kampagne versenden Angreifer E-Mails vor allem \u2013 aber nicht ausschlie\u00dflich \u2013 an Mitarbeiter im Bildungswesen, in den Landesregierungen sowie der industriellen Fertigung. Dabei erhalten die Empf\u00e4nger Nachrichten mit dem Hinweis, dass ihr Browser veraltet sei. Dar\u00fcber hinaus enth\u00e4lt die Mail einen Link \u2013 angeblich zum Download der aktuellen Version des Browsers. Stattdessen wird jedoch auf eine sehr gut nachgebaute, also gef\u00e4lschte Website umgeleitet, die mit Schadsoftware pr\u00e4pariert wurde, sogenannte HTML-Injects.<\/p>\n\n\n\n

Diese Injects analysieren zun\u00e4chst den geografischen Standort des PCs, das Betriebssystem und den Browser des Benutzers. Wenn die Umgebung des Benutzers bestimmte Bedingungen erf\u00fcllt, wird das Opfer zu einer gef\u00e4lschten Browser-Aktualisierungsseite geleitet. Anschlie\u00dfend soll der Anwender ein Skript zu Aktualisierung starten. Sobald dieses Skript ausgef\u00fchrt wird, legt es f\u00fcr das System eine Art Fingerabdruck an und l\u00e4dt in einem weiteren Schritt Malware herunter. Die bisher von den Cyberkriminellen eingesetzte Schadsoftware umfasst einen Banking-Trojaner (Chthonic) und\/oder Fernsteuerungssoftware (NetSupport).<\/p>\n\n\n\n

Zur Erl\u00e4uterung: Chthonic ist eine Variante des Banking-Trojaners Zeus \u2013 NetSupport hingegen ist eine legitime Fernzugriffsanwendung, die jedoch oft von Cyberkriminellen missbraucht wird.<\/p>\n\n\n\n

Proofpoint empfiehlt dringend, f\u00fcr Aktualisierungen die offizielle Website des jeweiligen Browser-Anbieters zu besuchen und\/oder die automatischen Updates der Browser zu aktivieren. Dar\u00fcber hinaus sollte der PC grunds\u00e4tzlich mit entsprechender Sicherheitssoftware ausgestattet sein. Firmen und andere Organisationen sollten dar\u00fcber hinaus ihre Mitarbeiter regelm\u00e4\u00dfig \u00fcber die aktuelle Bedrohungslage informieren und sie mittels interaktiver Trainings f\u00fcr die Gefahren im Bereich Cybersicherheit sensibilisieren.<\/p>\n\n\n\n

Weitere Informationen: im aktuellen Blogbeitrag von Proofpoint<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Aktuell l\u00e4uft eine Kampagne, mit der Cyberkriminelle zu einem Update der Browser von Internet-Usern aufrufen. Klicken die Anwender auf den in die jeweilige gef\u00e4lschte Webseite eingebundenen Update-Button, so installiert ihr System kein Browser-Update, sondern Malware. Die Angreifer sind laut Proofpoint vermutlich Mitglieder der Gruppe \u201eThreat Actor 569\u201c, die auch als \u201eSocGholish\u201c bekannt ist.<\/p>\n","protected":false},"author":1,"featured_media":16854,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4,37],"tags":[13903,13906,11300,1458,3238,8708,13905,13904],"class_list":["post-16853","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-security","tag-browser-update","tag-chthonic","tag-kampagne","tag-malware","tag-netsupport","tag-proofpoint","tag-socgholish","tag-ta569"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16853","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16853"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16853\/revisions"}],"predecessor-version":[{"id":16856,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16853\/revisions\/16856"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/16854"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16853"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16853"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16853"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}