Fake-Seiten: Vorsicht vor Zoom, Skype und Google Meet
Das ThreatLabZ-Team von Zscaler warnt vor gefälschten Online-Meeting-Seiten, die als Tarnung für verschiedene Malware-Familien dienen. Im Dezember 2023 entdeckten die Forscher einen Akteur, der gefälschte Websites von Skype, Google Meet und Zoom nutzt, um Remote-Access-Trojaner wie SpyNote RAT an Android-Nutzer und NjRAT sowie DCRat an Windows-Nutzer verbreitet.
Wie Zscaler berichtet, sind die gefälschten Websites auf Russisch und werden auf Domains gehostet, die ihren echten Versionen sehr ähnlich sind. Die Akteure setzen Typosquatting-Tricks ein, um potenzielle Opfer zum Herunterladen der Malware zu verleiten.
Die Fake-Seiten bieten Optionen zum Download der Meeting-App für Android, iOS und Windows. Wer auf die Android-Schaltfläche klickt, fängt sich eine APK-Datei ein – bei der Windows-App ist es ein Batch-Skript. Das böswillige Batch-Skript führt ein PowerShell-Skript aus, das den Remote-Access-Trojaner herunterlädt und startet. iOS-Nutzer bleiben derzeit noch verschont, ein Klick auf die Schaltfläche für die iOS-App führt den Nutzer auf die legitime Apple App Store-Liste für Skype.
Laut den Forschern benutzt der Bedrohungsakteur nutzt diese Köder, um RATs für Android und Windows zu verbreiten. Diese können vertrauliche Daten klauen, Tastatureingaben aufzeichnen und Dateien stehlen.
Die Art des Angriffs hat durchaus Parallelen im aktuellen Angriffsgeschehen. So hat etwa das AhnLab Security Intelligence Center (ASEC) entdeckt, dass eine neue Malware namens WogRAT sowohl Windows als auch Linux betrifft. Sie nutzt eine kostenlose Online-Notizblock-Plattform namens aNotepad, um bösartigen Code zu verstecken und abzurufen.
Diese Malware ist seit Ende 2022 aktiv und zielt unter anderem auf asiatische Länder wie China, Hongkong, Japan und Singapur ab. Es ist jedoch unklar, wie sie sich verbreitet. ASEC erklärt: „Wenn WogRAT das erste Mal ausgeführt wird, sammelt es grundlegende Informationen über das infizierte System und sendet sie an den C&C-Server. Die Malware kann dann Befehle wie das Ausführen von Kommandos, das Senden von Ergebnissen, das Herunterladen von Dateien und das Hochladen dieser Dateien ausführen.“
Ähnliche Angriffsmuster sind auch bei derzeit grassierenden Phishing-Kampagnen zu erkennen, die von einem Cyberkriminellen namens TA4903 durchgeführt werden. Dieser zielt darauf ab, Anmeldedaten von Unternehmen zu stehlen – wahrscheinlich um Business Email Compromise (BEC)-Angriffe durchzuführen. TA4903 ist seit mindestens 2019 aktiv, aber seine Aktivitäten haben sich seit Mitte 2023 deutlich verstärkt.
Proofpoint erklärt: „Die TA4903-Gruppe führt regelmäßig Kampagnen durch, bei denen sie in Form verschiedener US-Regierungsstellen auftreten. Davon eingeschüchtert sind die Opfer zumindest zum Teil bereit, Anmeldedaten aus ihrem Unternehmen preiszugeben.“ Bevorzugte Branchen für diese Angriffe sind das Bau-, Finanz-, und Gesundheitswesen, sowie die Lebensmittel- und Getränkeindustrie.
Die Angriffsmethoden umfassen die Verwendung von QR-Codes für das Phishing von Anmeldeinformationen sowie den Einsatz des EvilProxy Adversary-in-the-middle (AiTM) Phishing-Kits, um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Sobald ein Zielkonto kompromittiert ist, sucht der Angreifer nach Zahlungs-, Rechnungs- und Bankinformationen, um E-Mail-Threads zu manipulieren und Rechnungsbetrug zu verüben.
Phishing-Kampagnen haben sich auch als Einfallstor für andere gefährliche Malware-Familien erwiesen, darunter DarkGate, Agent Tesla und Remcos RAT. Besonders Letztere nutzt raffinierte steganografische Techniken, um die Malware auf kompromittierten Hosts zu verstecken und zu platzieren.