Threat Insights Report Gefälschte Captchas verbreiten Malware

Der Mensch ist ein Gewohnheitstier. Diesen Umstand machen sich Cyberkriminelle zu Nutzen und schleusen Malware in die Systeme ihrer Opfer, indem sie sie dazu verleiten gefälschte Captchas auszufüllen oder Trojaner via Excel oder Word auszuführen.

Der Mensch ist nach wie vor eines der größten Einfallstore für Cyberkriminelle. Dies zeigte sich mal wieder bei einer Untersuchung von HP Wolf Security, der den „HP Threat Insights Report“ veröffentlichte. Schwerpunkt des Berichts ist die zunehmende Verwendung gefälschter Captcha-Verifizierungstests, mit denen Cyberkriminelle Nutzer dazu verleiten wollen, sich selbst mit Malware zu infizieren. Den Trend, dass sich Anwender an das Ausfüllen mehrerer Authentifizierungsschritte im Internet gewöhnen, nennt HP „Klick-Toleranz“.

Achillesferse der Datensicherheit

Menschliche Fehler und Datenverluste im Kontext von KI

Einschleusen eines RAT via Captcha

Für den Report haben die Experten von HP Wolf Security die Daten von Millionen Endgeräten analysiert und so mehrere Bedrohungskampagnen identifiziert. Bei einer verwenden Kriminelle gefälschte Captchas. Der Completely Automated Public Turing test to tell Computers and Humans Apart, kurz Captcha, ist eine Sicherheitsmaßnahme, bei der Anwender bestätigen müssen, dass sie legitime Nutzer und kein Bot sind. Dafür fordern die Lösungen die Nutzer auf, verzerrte Buchstaben zu identifizieren und in ein Testfeld einzutippen, oder in einem in Raster unterteiltes Bild einzelne Felder auszuwählen, die bestimmte Elemente enthalten. Da bösartige Bots immer besser darin werden, Captchas zu umgehen, ist für den Menschen die Authentifizierung aufwendiger geworden, da sie ihre Legitimität mehrfach beweisen müssen.

Bei der von HP entdeckten Kampagne lockten die Akteure Nutzer auf eine von ihnen kontrollierte Webseite und forderten sie dort auf, eine Reihe von gefälschten Authentifizierungs­anforderungen zu erfüllen. Dann wurden die Opfer dazu verleitet, einen bösartigen PowerShell-Befehl auf ihrem PC auszuführen, der den Stealer Remote Access Trojan (RAT) Lumma installierte. Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP, kommentiert: „Die mehrstufige Authentifizierung ist jetzt die Norm. Dies erhöht unsere 'Klick-Toleranz'. Die Analyse zeigt, dass Anwender mehrere Schritte entlang einer Infektionskette unternehmen, und unterstreicht dadurch die Unzulänglichkeiten von Schulungen zum Thema Cyber-Awareness. Unternehmen befinden sich in einem Wettbewerb mit Angreifern. Dieser wird durch KI noch beschleunigt. Um die zunehmend unvorhersehbaren Bedrohungen zu bekämpfen, sollten sich Unternehmen darauf konzentrieren, ihre Angriffsfläche zu reduzieren, indem sie risikoreiche Aktionen isolieren – beispielsweise das Anklicken von Dingen, die ihnen schaden könnten. Auf diese Weise müssen sie den nächsten Angriff nicht vorhersehen, sie sind bereits geschützt.“

Malware und Phishing

Vertrauenswürdige Subdomains lassen Cyberangriffe seriös erscheinen

Ausnutzung von Word, Excel und SVG-Bildern

Bei einer weiteren Bedrohungskampagne griffen Angreifer auf die Webcams und Mikrofone ihrer Opfer zu, um sie auszuspionieren. Dafür verbreiteten sie einen Open-Source-RAT namens XenoRAT, der über fortschrittliche Überwachungsfunktionen verfügt. Mithilfe klassischer Social-Engineering-Techniken konnten die Kriminellen HP zufolge Anwender dazu bringen, Makros in Word- und Excel-Dokumenten zu aktivieren. So konnten sie dann die Geräte steuern, Daten exfiltrieren und Tastenanschläge protokollieren.

Die Wege, die Cyberkriminelle gehen, um Malware einzuschleusen, sind vielfältig. Neben Word und Excel konnten die Spezialisten von HP auch beobachten, wie die Akteure bösartigen JavaScript-Code in SVG-Bilder (Scalable Vector Graphic) einpflanzten, um ihrer Erkennung zu entgehen. Solche Bilder werden standardmäßig in Webbrowsern geöffnet und füreh dann den eingebetteten Code aus. Dadurch verteilen sie RATs und Infostealer für die Cyberangreifer. Als Teil der Infektionskette verwendeten sie in den beobachteten Fällen auch verschleierte Python-Skripte, um die Schadsoftware zu installieren. Solch ausführbaren Dateien gehören dem Bericht zufolge zu den beliebtesten Malware-Typen. Sie wurden in 43 Prozent der analysierten Daten gefunden.

Patrick Schläpfer, Principal Threat Researcher im HP Security Lab, erklärt: „Ein gemeinsamer Nenner dieser Kampagnen: Sie verwenden Verschleierungs- und Anti-Analyse-Techniken, um Untersuchungen zu verlangsamen. Selbst solche einfachen, aber wirksamen Techniken können die Erkennung und Reaktion von Sicherheitsteams verzögern – und so die Eindämmung einer Infektion erschweren. Durch Methoden wie das Verwenden direkter Systemaufrufe erschweren Angreifer das Aufzeichnen bösartiger Aktivitäten durch Security-Tools. Cyberkriminelle erhalten damit mehr Zeit, unentdeckt zu operieren und die Endgeräte der Opfer zu kompromittieren.“

Tools und Prävention

Vorsicht vor Brute-Force-Angriffen!

(ID:50362621)