|
Research|
Blog|
Newsletter|
Websession|
EN
Cybersecurity-Forscher von Proofpoint haben zwei neue Hackergruppen identifiziert, die hinter einer Welle von gefälschten Browser-Updates stecken, durch die Nutzer mit Malware infiziert werden sollen. Dafür nutzen die Kriminellen kompromittierte Websites, um Besucher dazu zu verleiten, Malware herunterzuladen, zu der jetzt auch ein neu entdeckter, Mac-spezifischer Info Stealer namens FrigidStealer gehört.
Grundlage dieser Masche sind sogenannte Web Injects, eine Technik, bei der die Angreifer bösartigen Code in einer legitimen Webseite einfügen. Besucht ein Nutzer diese infizierte Website, wird eine gefälschte Aufforderung eingeblendet, dass ein Browser-Update heruntergeladen und installiert werden solle. Hinter diesem vermeintlichen Update steckt jedoch Malware, die sensible Daten stehlen oder weitere Malware installieren soll.
Hinter den Angriffen stecken laut den Sicherheitsforschern zwei Hackergruppen namens TA2726 und TA2727. TA2726 agiert hauptsächlich als Traffic-Verkäufer und bietet einen Redirection Service für andere Cyberkriminelle an. Dabei arbeiten die Cyberkriminellen offenbar auch mit weiteren Hackergruppen wie TA569 zusammen, die bereits seit geraumer Zeit für andere Kampagnen mit Fake-Updates verantwortlich sind. TA2727 hingegen verbreite laut Proofpoint selbst aktiv Malware via Fake-Updates, um Benutzer zu täuschen.
Interessant ist auch, dass TA2727 offenbar je nach Standort des Opfers unterschiedliche Malware ausliefert. In den USA und Kanada wurden die Benutzer auf die SocGholish-Installation geleitet. In Europa hingegen wurde Windows-Nutzern mit einer gefälschten Browser-Update-Aufforderung die Malware Lumma Stealer ausgespielt, während Android-Nutzer mit dem Banking-Trojaner Marcher angegriffen wurden.
Besonderes Augenmerk legen die Sicherheitsforscher in ihrem Bericht auch auf die neu entdeckte Malware FrigidStealer, die es auf Mac-Nutzer abgesehen hat. Der Angriff beginnt mit einer gefälschten Update-Nachricht, die den Nutzer zu einer bösartigen Datei umleitet. Wird diese angeklickt, installiert sie, getarnt als Browser-Update – sowohl bei Chrome als auch bei Safari – den Info Stealer. Die Malware sammelt dann heimlich sensible Daten wie Browser-Cookies, Dateien mit Passwörtern sowie Kryptowährungen und sogar Apple Notes, genau wie die kürzlich entdeckte neue Variante der XCSSET-Malware.
Die Malware ist in der Programmiersprache Go geschrieben und verwendet WailsIO, ein Framework, das das gefälschte Update-Fenster realistisch aussehen lässt. Außerdem umgeht sie die Gatekeeper-Sicherheitsfunktion des Mac, indem sie den Benutzer auffordert, mit der rechten Maustaste zu klicken und „Öffnen“ auszuwählen – ein üblicher Trick von Mac-Malware-Autoren.
Schutz vor derartigen Angriffen bietet ein gewisses Misstrauen gegenüber Dateien aus unbekannten Quellen – selbst, wenn diese sich als legitimes Update ausgeben. Vor der Installation und dem Klick auf Links und Dateien empfiehlt es sich außerdem, diese durch Websites wie VirusTotal oder Any.Run überprüfen zu lassen.
Bild (c) James Thew / Adobe Stock
