Gefälschte Browser-Updates: Eine akute Bedrohung

Proofpoint hat vier verschiedene Bedrohungscluster identifiziert, die gefälschte Browser-Updates zur Verbreitung von Malware nutzen. [...]

Foto: 200Degrees/Pixabay

Dabei kommen kompromittierte Websites zum Einsatz, bei denen eine vermeintliche Information des Browser-Anbieters (wie Chrome, Firefox oder Edge) angezeigt wird. Diese suggerieren dem potenziellen Opfer, dass eine Browser-Aktualisierung nötig ist. Sobald ein Benutzer auf den Link klickt, lädt er kein legitimes Browser-Update herunter. Stattdessen fängt er sich eine gefährliche Malware ein. Die Angreifer haben es dabei auch auf deutsche Internetuser abgesehen.

Den Recherchen von Proofpoint zufolge nutzt die cyberkriminelle Gruppe TA569 bereits seit über fünf Jahren gefälschte Browser-Updates, um die Malware SocGholish zu verbreiten. In jüngster Zeit nutzen auch andere Bedrohungsakteure diese Masche intensiv. Dabei setzen die unterschiedlichen Tätergruppen auf verschiedene Methoden, um mit entsprechenden Ködern ihre Schadsoftware zu verbreiten.

Gemein ist diesen Methoden, dass sie sich dieselben Social-Engineering-Taktiken zunutze machen. Die Kriminellen missbrauchen dabei das Vertrauen der Nutzer in ihren Browser und bekannte Websites.

Um den Datenverkehr zu einer von ihnen kontrollierten Domäne zu leiten, nutzen die Angreifer JavaScript- oder HTML-Code. Die angezeigte Webseite ist dann individuell so gestaltet, dass sie speziell auf den vom potenziellen Opfer verwendeten Webbrowser zugeschnitten ist. Eine gefährliche Payload wird sodann automatisch heruntergeladen, oder der Benutzer erhält die Aufforderung zum Herunterladen eines „Browser-Updates“, das die Schadsoftware enthält.

Wie die Proofpoint-Experten attestieren, handelt es sich bei diesem Verbreitungsweg um ein gutes Beispiel für die Kombination von Social-Engineering-Taktiken und technischen Angriffswerkzeugen:

„Unsere Security-Experten haben festgestellt, dass immer mehr Cyberkriminelle Gruppen gefälschte Browser-Updates nutzen, um Menschen zum Download von Malware zu bewegen. Bei dieser Bedrohung werden spezielle technische Fähigkeiten mit Social Engineering kombiniert, um Menschen vorzugaukeln, dass ihr Browser veraltet sei. Auf diese Weise können die Täter eine Vielzahl von Malware-Varianten verbreiten, die Daten stehlen, einen Computer fernsteuern oder sogar nachträglich zu einer Ransomware-Infektion führen. Diese Masche wird immer beliebter, wahrscheinlich einfach, weil sie funktioniert. Sie missbraucht den Wunsch vieler, ihre Geräte abzusichern und ihre Daten zu schützen, indem sie sie auf dem neuesten Stand halten, bewirkt aber genau das Gegenteil. Denn stattdessen wird der Rechner des Opfers mit Malware infiziert.“

Beispiel eines gefälschten Browser-Updates.
Abbidlung: Gefälschte Website aus der ClearFake -Kampagne, mit der Stealer wie Lumma, Redline und Raccoon v2 verbreitet werden (Quelle: Proofpoint GmbH)

Sind Browser-Updates als Köder lohnenswert für Cyberkriminelle?

Mit gefälschten Browser-Updates User in die Falle zu locken, ist eine effektive Taktik. Nicht zuletzt deshalb, weil die Täter dabei die Security-Trainings der Nutzer gegen sie verwenden. Im Rahmen von Sicherheitsschulungen werden Benutzer für gewöhnlich dazu aufgefordert, nur Updates zu akzeptieren oder auf Links zu klicken, die von bekannten und vertrauenswürdigen Websites stammen.

Die gefälschten Browser-Updates missbrauchen diese vermittelte Herangehensweise, indem sie vertrauenswürdige Websites kompromittieren und sich JavaScript-Anfragen bedienen, um im Hintergrund unbemerkt die vorhandene Website mit einem Browser-Update-Köder zu überschreiben. Für das potenzielle Opfer sieht es nach wie vor so aus, als ob es sich um dieselbe Website handelt, die es eigentlich besuchen wollte und die ihn nun auffordert, seinen Browser zu aktualisieren.

Proofpoint konnte keine Kampagnen identifizieren, bei denen die gefährlichen Links direkt via E-Mail verbreitet werden. Allerdings tauchen aufgrund der Art der Bedrohung kompromittierte URLs auf verschiedene Weise häufig im E-Mail-Verkehr auf.

So begegnen entsprechende Links normalen Nutzern im alltäglichen E-Mail-Verkehr. Sie sind sich der Gefahr kompromittierter Websites jedoch nicht bewusst. Die Links lassen sich beispielsweise in Google Alerts oder in automatisierten Massen-E-Mails wie Newslettern finden.

Security-Verantwortliche in den Unternehmen sollten die gefälschten Browser-Updates nicht nur als reines E-Mail-Problem betrachten. Denn die Nutzer können den Link aus auch einer anderen Quelle erhalten, z. B. mittels einer Suchmaschine oder eines sozialen Netzwerks.

Kampagnen

Aktuell gibt es vier verschiedene Bedrohungscluster, die in individuellen Kampagnen gefälschte Browser-Updates als Köder nutzen. Aufgrund der Ähnlichkeit der Köder und der Angriffskette wurden die Aktivitäten in einigen Veröffentlichungen fälschlicherweise demselben Bedrohungscluster zugeordnet. Da Proofpoint über umfassendere Daten zu den Kampagnen verfügt, waren die Security-Forscher des Unternehmens in der Lage, eine präzisere Unterteilung in detailliertere Cluster vorzunehmen.

Die vier Bedrohungscluster sind:

  • SocGholish
    • Bei SocGholish handelt es sich um die bekannteste Bedrohung im Zusammenhang mit gefälschten Browser-Updates. Sie wurde in den vergangenen Jahren bereits gut dokumentiert. Proofpoint schreibt die SocGholish-Kampagnen einer als TA569 bekannten cyberkriminellen Gruppe zu. Proofpoint konnte auch beobachten, dass TA569 als Verteiler für andere Tätergruppen fungiert.
  • RogueRaticate/FakeSG 
    • Der zweite Cluster mit gefälschten Browser-Updates, den Proofpoint identifizieren konnte, wird als „RogueRaticate“  oder „FakeSG“ bezeichnet. Erstmals registriert wurde diese Aktivität im Mai 2023. Einige Security-Experten anderer Anbieter bezeichneten sie als eine Kopie der bekannten, umfangreichen SocGholish-Kampagnen. Proofpoint ordnet die RogueRaticate-Aktivität derzeit keinem bekannten Bedrohungsakteur zu, sie unterschieden sich jedoch stets deutlich von SocGholish-Kampagnen.
  • ZPHP/SmartApeSG 
    • Ein weiterer Cluster mit gefälschten Update-Kampagnen identifizierte Proofpoint erstmals im Juni 2023. Diese dienten zur Verbreitung des NetSupport Remote Access Trojaners (RAT). Trellix machte diese Aktivitäten erstmals im August 2023 öffentlich. Proofpoint bezeichnet sie als ZPHP oder SmartApeSG. 
  • ClearFake 
    • Im August 2023 veröffentlichten Security-Forscher eines Drittanbieters Details zu einer Bedrohung mit gefälschten Browser-Updates, die seither als ClearFake bezeichnet wird. Proofpoint konnte daraufhin Kampagnen identifizieren, die mit diesem Cluster in Verbindung stehen. Zudem konnte das Unternehmen in der kurzen Zeit der Überwachung eine Reihe von Veränderungen dieser Bedrohung registrieren. 

Resümee

Die hier erörterten Aktivitäten sind für Sicherheitsteams eine Herausforderung, weil sie schwer zu erkennen und zu verhindern sind. Auch erschweren es die von den Tätern verwendeten Social-Engineering-Techniken und die Kompromittierung von Websites den Security-Verantwortlichen, ihren Mitarbeitern die richtigen Verhaltensweisen angesichts dieser Bedrohung zu vermitteln.

Die beste Sicherheitsmaßnahme zum Schutz vor dieser Bedrohung ist eine umfassende Verteidigung. Unternehmen sollten über eine Network Detection verfügen – inklusive Regeln für neu auftretende Bedrohungen – und auf Endpoint Protection setzen.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Was ist Network Detection und in weiterer Folge NDR und XDR? Das wird in diesem Video von IBM kurz erklärt.

Darüber hinaus sollten Organisationen ihre Benutzer darin schulen, entsprechende Angriffe zu erkennen und verdächtige Aktivitäten an ihre Sicherheitsteams zu melden. Dabei handelt es sich um eine sehr spezifische Schulung, die leicht in ein bestehendes Programm für das Security Awarness Training integriert werden kann.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*