Infostealer SYS01 Malvertising-Kampagne zielt auf Facebook, Office 365 und Adobe

Eine hochentwickelte Malvertising-Kampagne treibt ihr Unwesen. Sie zielt auf Nutzerkonten bekannter Marken ab, vor allem auf Facebook-Unternehmensprofile. Bitdefender Labs hat die Malware SYS01 genauer analysiert.

Im Zuge einer weltweiten Malvertising-Kampagne ist die Infostealer Malware SYS01 auf der Suche nach leicht zu erbeutenden Zugangsdaten. Das Analystenteam von Bitdefender Labs hat die Malware genauer unter die Lupe genommen und herausgefunden, dass sie auf beliebte Marken wie Office 365, Adobe, Netflix und Super Mario abzielt. Besonders Nutzerkonten von Meta-Unternehmensseiten sind im Fokus. Cyberkriminelle suchen mit SYS01 nach persönlichen Daten, mit denen sie die jeweiligen Nutzerkonten übernehmen können, um darauf aufbauend weitere Angriffe durchzuführen. Die Malware-Kampagne läuft dem Security-Hersteller Morphisec zufolge bereits seit Mai 2022.

Malvertising-Kampagne hat IT-Admins und Putty zum Ziel

Sicherheitsforscher finden Nitrogen-Malware in Google-Suche

Mehrere Hundert Domänen dienen der Verbreitung

Die Akteure nutzen Anzeigen, die vermeintliche Download-Angebote von Adobe, Office 365, Netflix, VPN-Diensten oder von bekannten Spielen wie Super Mario bewerben, um damit die Malware zu verbreiten. Bitdefender zufolge setzen die Hacker dafür eine Election-JavaSprict-Appliaktion ein. Die Schadsoftware, die beim Klicken auf eine der gefälschten Anzeigen, heruntergeladen wird, zeige fortschrittliche Taktiken auf, damit Sandboxen sie nicht entdecken. Zudem passe sich die Malware bei einer Erkennung über Updates schnell an, um weiterhin unentdeckt zu bleiben. Die Cyberkriminellen nutzen mehrere Hundert bösartiger Domänen, um die Malware zu verbreiten und Command-and-Control-Attacken in Echtzeit durchzuführen.

Die erbeuteten Nutzerdaten zu monetarisieren, sei laut Bitdefender nicht das alleinige Ziel der Cyberkriminellen. Mit SYS01 zielen sie vor allem auf Facebook-Zugangsdaten zu Unternehmensseiten ab. Um noch glaubwürdiger wirkende, aber bösartige Anzeigen zu bauen, sei es das Hauptziel der Akteure, Geschäftskonten der Social-Media-Plattform zu übernehmen. Denn es sei effektiver und unauffälliger als E-Mail-Phishing, die gefälschten Anzeigen von gekaperten Nutzerkonten aus zu senden.

Redline-Infostealer verbreitet sich extrem schnell

Zunahme von Infostealer-Infektionen um fast 650 Prozent

SYS01 ist besonders anpassungsfähig

Bitdefender Labs zufolge, können Hacker die SYS01-Infostealer-Kampagne flexibel anpassen und vor Schutzmechanismen tarnen. So erkennt die Malware Sandbox-Abwehrverfahren und stoppt ihre Aktivitäten, sobald sie bemerkt, dass sie in einer kontrollierten Umgebung läuft. Vor der Ausführung ihrer Attacken führen die Cyberkriminellen Tests für jede Hauptkomponente durch. So würden sie sichergehen wollen, dass ihre Tools, wie der Javascript Unpacker, der PHP-Infostealer oder das PHK-Script, auch wirklich anhaltend in das Unternehmensnetzwerk eindringen.

Sobald eine Cybersicherheitslösung einen solchen Angriff meldet und die aktuelle Version des Malware-Loaders blockt, reagieren die Hacker rasch mit einem Update des Schadcodes. In der Folge verbreiten sie neue Anzeigen mit der aktualisierten Malware, welche die letzten Sicherheitsmaßnahmen wieder übergehen kann.

Schutz vor Malvertising

In ihrem veröffentlichten Bericht geben die Analysten von Bitdefender Labs Empfehlungen, wie Unternehmen sich vor der Malware SYS01 schützen können:

• Anzeigen genau prüfen: Halten Sie einen Moment inne, bevor Sie auf eine Anzeige klicken, die kostenlose Downloads anbietet. Selbst auf vertrauenswürdigen Plattfromen wie Meta sollten Sie immer zuerst die Quelle der Anzeige überprüfen, bevor Sie eine Software herunterladen.

• Nur offizielle Quellen verwenden: Generell sollten User Sofware immer direkt von der offiziellen Website herunterladen und nicht über Plattformen von Drittanbietern oder Filesharing-Diensten.

• Sicherheitssoftware installieren und updaten: Bitdefender empfiehlt, eine vertrauenswürdige Sicherheitssoftware zu installieren und diese auf dem neusten Stand zu halten. Am besten sollten sich Unternehmen vorab darüber informieren, welche Lösungen sich entwickelnde Bedrohungen wie SYS01 erkennen können.

• Zwei-Faktor-Authentifizierung aktivieren: Mit einer 2FA fügen Sie ihren Nutzerkonten eine zusätzliche Sicherheitsschicht hinzu. Dies verhindert ein weiteres Vordringen der Cyberkriminellen, falls diese Ihr Konto kompormittieren konnten.

• Überwachen der Geschäftskonten: Unternehmen sollten regelmäßig ihre Geschäftskonten auf unbefugten Zugriff oder verdächtige Aktivitäten überprüfen. Bemerken Sie ungewöhnliches Verhalten, melden Sie dies sofort an den Betreiber der Plattform und ändern Sie Ihre Anmeldeinformationen.

Experten warnen vor Lösegeldzahlungen

Wie Ransomware deutsche Unternehmen lahmlegt

(ID:50223528)