NetSupport RAT installiert sich über gefälschte Update-Benachrichtigungen

Die Security-Analysten des Zscaler-ThreatLabZ-Teams konnten zwei Kampagnen aufdecken, bei denen Cyberkriminelle ahnungslose Nutzer dazu bringen wollen, einen Remote Access Trojaner (RAT) über ein gefälschtes Flash-Player- und ein Font-Update herunterzuladen. [...]

Zscaler hat in den vergangenen drei Monaten 40.000 der beschriebenen Angriffe in der Security Cloud blockiert.
Zscaler hat in den vergangenen drei Monaten 40.000 der beschriebenen Angriffe in der Security Cloud blockiert.(c) Joachim Roy - Fotolia

RATs werden von Cyberkriminellen genutzt, um eine Hintertür im System des ZielUnternehmens zu etablieren, um dadurch aus der Ferne darauf zuzugreifen. In der heutigen digitalen Welt ist die Webseite ein wertvolles Gut, das das Unternehmen in der Öffentlichkeit präsentiert. Als solches gilt es den Auftritt vor Angriffen zu schützen, die den Geschäftsbetrieb, Mitarbeiter oder Kunden einem Risiko aussetzen können.

Ziel der eingangs erwähnten von Zscaler aufgedeckten Kampagnen ist es, bösartige Redirector-Skripte in kompromittierte Content-Management-System-(CMS)-Plattformen einzuschleusen. Die betroffenen Seiten basieren in der Regel auf beliebten Programmen, wie WordPress, Joomla, oder Drupal. Die Cyberkriminellen greifen über Schwachstellen an, die sich in Plugins, Themes und Erweiterungen verstecken. Beide untersuchte Malware-Kampagnen liefern eine Payload aus die dazu dient sensible Informationen zu stehlen. Die folgende Abbildung zeigt die Treffer gegen verschiedene Websites. Insgesamt hat das ThreatLabZ-Team in den letzten drei Monaten fast 40 000 dieser Angriffsversuche blockiert.

img-2
Die Anzahl der blockierten Attacken auf den verschiedenen CMS-Plattformen: WordPress (grün), Joomla (gold), Drupal (blau) und andere (orange). (c) Zscaler

Angriffsmethode 1: Gefälschte Flash-Player-Update-Kampagne

Bei diesem Angriff hackten Cyberkriminelle WordPress-Webseiten über die Theme-Plugin-Schwachstelle und injizierten zwei bösartige Redirect-Skripte in die betroffene Website. Durch die Verwendung eines der beiden Skripte bringen die Angreifer Malware auf der Benutzerseite aus. Das injizierte Skript leitet zur Betrugsseite weiter und lädt das Skript für die gefälschte Update-Vorlage herunter, um dem Benutzer eine gefälschte Flash Player-Update-Warnung anzuzeigen.

img-3
Eine kompromittierte WordPress-Webseite mit dem gefälschten Flash-Player-Update-Hinweis. (c) Zscaler

Angriffsmethode 2: Kampagne zur Aktualisierung gefälschter Schriftarten

Bei diesem Angriff injizieren die Cyberkriminellen das Skript der gefälschten Update-Vorlage direkt, indem sie die legitime Website ausnutzen, um der Erkennung zu entgehen. Die Template-Skriptlogik identifiziert den verwendeten Browser des Anwenders. Beim Zugriff auf die kompromittierte Website über Chrome erhält der Benutzer eine Warnung, dass die Schriftart ‚PT Sans‘ nicht gefunden wurde. 

img-4
Die kompromittierte Seite mit einer gefälschten Schriftarten-Update-Seite (Chrome). (c) Zscaler

Die gesamte Analyse des NetSupport RAT können Interessierte hier auf englisch nachlesen: www.zscaler.com/blogs/research/netsupport-rat-installed-fake-update-notices.


Mehr Artikel

Ass. Prof. Dr. Johannes Brandstetter, Chief Researcher bei NXAI (c) NXAI
News

KI-Forschung in Österreich: Deep-Learning zur Simulation industrieller Prozesse

Als erstes Team weltweit präsentiert das NXAI-Forscherteam um Johannes Brandstetter eine End-to-End-Deep-Learning Alternative zur Modifizierung industrieller Prozesse, wie Wirbelschichtreaktoren oder Silos. Das Team strebt schnelle Echtzeit-Simulationen an, plant den Aufbau von Foundation Models für Industriekunden und fokussiert sich im nächsten Schritt auf die Generalisierung von Simulationen. […]

img-8
News

Die besten Arbeitgeber der Welt

Great Place To Work hat durch die Befragung von mehr als 7,4 Millionen Mitarbeitenden in den Jahren 2023 und 2024 die 25 World’s Best Workplaces identifiziert. 6 dieser Unternehmen wurden auch in Österreich als Best Workplaces ausgezeichnet. […]

img-9
News

ventopay als Vorreiter der digitalen Transformation

Bei der diesjährigen Verleihung des Digitalpreises „DIGITALOS“ wurde das oberösterreichische Softwareunternehmen ventopay als Sieger in der Kategorie „Digitale Transformation“ ausgezeichnet. Der Preis geht an Unternehmen, die ihre Geschäftsmodelle erfolgreich digitalisiert und zukunftsweisende Lösungen für ihre Branche entwickelt haben. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*