Anzeigen in Microsofts Bing-Chat können Nutzer zu gefährlichen Seiten führen
Bösartige Anzeigen, die im KI-Chatbot Bing von Microsoft geschaltet werden, werden offenbar dazu genutzt, bei der Suche nach beliebten Tools Malware zu verbreiten. Wie Malwarebytes entdeckt hat, können ahnungslose Nutzer dazu verleitet werden, mit versteckten Fallen versehene Websites zu besuchen und Malware direkt aus Bing-Chat-Konversationen zu installieren.
Der von Microsoft im Februar 2023 eingeführte Bing Chat ist eine interaktive Suche, die auf dem Sprachmodell GPT-4 basiert. Einen Monat nach der Einführung begann der Techriese Tests mit der Platzierung von Werbung in den Unterhaltungen. Dieser Schritt hat jedoch auch die Türen für Cyberkriminelle geöffnet, die auf Malvertising-Taktiken zurückgreifen und Malware verbreiten.
„Anzeigen können auf verschiedene Weise in eine Bing-Chat-Konversation eingefügt werden“, so Jérôme Segura, Director of Threat Intelligence bei Malwarebytes. „Eine davon ist, wenn ein Benutzer mit dem Mauszeiger über einen Link fährt und Werbung angezeigt wird, bevor es zum gewünschten Inhalt geht“. Als Beispiel nennt der Cybersecurity-Anbieter einer Bing-Chat-Abfrage zum Herunterladen einer legitimen Software namens Advanced IP Scanner. Beim Überfahren des angebotenen Links mit dem Mauszeiger wird noch vor der offiziellen Website, auf der das Tool gehostet wird, eine bösartige Anzeige einblendet, die auf einen betrügerischen Link verweist.
Wenn der Benutzer auf den Link klickt, wird er zu einem Traffic-Direction-System (TDS) weitergeleitet, das anhand von Fingerabdrücken feststellt, ob die Anfrage tatsächlich von einem echten Menschen stammt (im Gegensatz zu einem Bot, Crawler oder einer Sandbox), bevor er auf eine Täuschungsseite mit dem betrügerischen Installationsprogramm geführt wird. Das Installationsprogramm ist so konfiguriert, dass es ein Visual-Basic-Skript ausführt, das eine Verbindung zu einem externen Server herstellt. Wahrscheinlich erwartet es von dort die nächsten Instruktionen. Die genaue Art der übermittelten Malware ist derzeit noch nicht bekannt.
Ein bemerkenswerter Aspekt der Kampagne ist, dass es dem Bedrohungsakteur gelungen ist, das Anzeigenkonto eines seriösen australischen Unternehmens zu infiltrieren und dort die Anzeigen zu erstellen. „Bedrohungsakteure nutzen weiterhin Suchanzeigen, um Benutzer auf bösartige Websites umzuleiten, auf denen Malware gehostet wird“, so Segura. „Mit überzeugenden Landing Pages können Opfer leicht dazu verleitet werden, Malware herunterzuladen, ohne dass sie etwas davon mitbekommen.
Kampagnen gleicher Machart auf dem Vormarsch
Akamai und Perception Point haben erst vor kurzem eine mehrstufige Kampagne aufgedeckt, bei der die Systeme von Hotels, Buchungsseiten und Reisebüros mit Malware angegriffen werden. Diese stiehlt Informationen und nutzt dann den Zugang zu den Konten aus, um über gefälschte Buchungsseiten an die Finanzdaten der Kunden zu gelangen.
Der Angreifer, der sich als Hotel ausgibt, kontaktiert den Kunden über die Buchungsseite und fordert ihn auf, seine Kreditkarte erneut zu bestätigen, und stiehlt dann die Kartendaten“, so Akamai-Forscher Shiran Guez. Er machte darauf aufmerksam, dass die Angriffe das Gefühl der Dringlichkeit beim Opfer provozieren, um die Operation leichter durchführen zu können.
In einem diese Woche veröffentlichten Bericht von Cofense heißt es, dass das Gastgewerbe Opfer einer „gut durchdachten und innovativen Social-Engineering-Attacke“ geworden ist, die darauf abzielt, Stealer-Malware wie Lumma Stealer, RedLine Stealer, Stealc, Spidey Bot und Vidar zu verbreiten.
„Bislang zielt die Kampagne nur auf das Gastgewerbe ab, vor allem auf Luxushotelketten und Resorts, und verwendet branchenbezogene Köder wie Buchungsanfragen, Reservierungsänderungen und Sonderwünsche“, so Cofense. „Die Köder sowohl für die Aufklärungs- als auch für die Phishing-E-Mails sind entsprechend abgestimmt und gut durchdacht.“
Das Unternehmen, das sich auf das Management von Phishing-Bedrohungen für Unternehmen spezialisiert hat, berichtet weiter, dass es auch bösartige HTML-Anhänge beobachtet hat, die Browser-in-the-Browser (BitB)-Angriffe durchführen sollen: Scheinbar harmlose Pop-up-Fenster können die E-Mail-Empfänger dazu verleiten, ihre Microsoft-Anmeldedaten anzugeben.
Ein weiteres Beispiel für die Weiterentwicklung von Phishing-Angriffen ist die Technik ZeroFont, bei der ein ausgewählter Teil des Nachrichtentextes in einer Schriftart mit Pixel-Größe Null geschrieben wird, um den Anschein zu erwecken, dass die E-Mail die Sicherheitsprüfungen erfolgreich bestanden hat.
Der Angriff besteht darin, die Nachrichtenvorschau in Microsoft Outlook so zu manipulieren, dass sich der „unsichtbare“ Text am Anfang der Nachricht befindet. Dabei wird die Tatsache ausgenutzt, dass E-Mail-Clients jeden Text in der Listenansicht anzeigen, auch wenn er Schriftgröße Null hat.
„Obwohl es sich um eine Technik handelt, die keine großen Änderungen vornimmt, könnte sie dennoch einige Empfänger verwirren und zu der Annahme verleiten, dass eine Phishing-Nachricht vertrauenswürdig ist“, so das SANS Internet Storm Center (ISC). „Es ist auf jeden Fall eine weitere kleine Ergänzung im Werkzeugkasten der Bedrohungsakteure, die dazu verwendet werden kann, effektivere Phishing-Kampagnen zu erstellen.“
Die Entdeckungen sind ein Zeichen dafür, dass Bedrohungsakteure ständig neue Wege finden, um unwissende Ziele zu infiltrieren. Die Benutzer sollten es vermeiden, auf nicht angeforderte Links zu klicken, auch wenn sie legitim aussehen. Sie sollten dringenden oder drohenden Nachrichten, die zu sofortigem Handeln auffordern, misstrauisch gegenüberstehen und URLs auf Anzeichen von Betrug überprüfen.