Mit der neuen Methode versuchen Cyberkriminelle, Benutzer dazu zu verleiten, schädliche PowerShell-Befehle auf ihren eigenen Systemen auszuführen. [...]
Die Täter nutzen Social Engineering und versteckten Schadcode. Proofpoint konnte feststellen, dass verschiedene Gruppen, darunter der Initial Access Broker TA571, diese Methode nutzen, um Malware wie DarkGate, Matanbuchus, NetSupport und verschiedene Information Stealer zu verbreiten.
Unabhängig davon, ob die ursprüngliche Kampagne über Malspam oder Webbrowser-Injections gestartet wird, läuft ein Angriff ähnlich ab. Den Benutzern wird ein Popup-Fenster mit der Meldung angezeigt, dass ein Fehler beim Versuch aufgetreten ist, ein Dokument oder eine Webseite zu öffnen. Sie werden dann aufgefordert, ein bösartiges Skript in das PowerShell-Terminal oder das Windows-Dialogfeld „Ausführen“ zu kopieren und einzugeben, um das Skript schließlich über PowerShell auszuführen.
Diese Art von Angriff ist besonders gefährlich, weil sie die meisten traditionellen Sicherheitsvorkehrungen wie Antimalware-Lösungen und Firewalls umgeht. Da die schädlichen Aktivitäten vom Benutzer selbst initiiert werden, bleiben sie oft unentdeckt und stellen ein wirksames Werkzeug für Cyberkriminelle dar.
Angesichts immer neuer Methoden, mit denen Cyberkriminelle Malware verbreiten, ist die Aufklärung der Nutzerinnen und Nutzer unabdingbar, um diese Art von Angriffen abzuwehren. Nutzer müssen sich der Risiken bewusst sein, die mit dem Kopieren und Einfügen unbekannter Befehle in ihre Konsolen verbunden sind. Darüber hinaus sollten Organisationen moderne Sicherheitslösungen implementieren, die in der Lage sind, schädliche PowerShell-Aktivitäten zu erkennen und zu blockieren.
Die vollständige Analyse der Proofpoint-Experten finden Sie im Threat Blog des Cybersecurity-Unternehmens im englischen Original.
Be the first to comment