Cybersecurity-Experten von Kaspersky haben eine neue, weitreichende Malware-Kampagne aufgedeckt, die fortschrittliche Social-Engineering-Techniken einsetzt. Die Angreifer tarnen ihre Attacken geschickt als legitime Webseitenelemente wie CAPTCHAs und Browserfehler, um arglose Nutzer in die Falle zu locken.
Anatomie eines raffinierten Cyberangriffs
Der Angriff beginnt, wenn ein Benutzer auf ein semitransparentes Werbebanner klickt, das unauffällig über die gesamte Webseite gespannt ist. In den meisten Fällen werden die Opfer auf Werbeseiten weitergeleitet, die verschiedene Softwareprodukte bewerben. In einigen Fällen landen die Nutzer jedoch auf einer Seite mit einem bösartigen CAPTCHA.
Im Gegensatz zu echten Verifizierungssystemen dient dieses gefälschte CAPTCHA dazu, zweifelhafte Ressourcen zu bewerben oder – noch gefährlicher – Malware zu verbreiten. Die Angreifer können den Benutzer auffordern, eine Reihe von Aktionen durchzuführen, angeblich um den Schutz vor Bots zu überprüfen oder Browserprobleme zu beheben.
Raffinierte Social-Engineering-Taktiken
Wenn der Benutzer den Anweisungen der Angreifer folgt, führt er unwissentlich einen bösartigen PowerShell-Code aus. Dieser Base64-verschlüsselte Code enthält Befehle zum Herunterladen und Installieren von Malware auf dem Computer des Opfers.
Geografische Verbreitung und Zielgruppen
Die Forscher stellten fest, dass die meisten Angriffe in Russland, Brasilien, Spanien und Italien registriert wurden. Ursprünglich zielten die Angreifer auf Gamer, die Websites mit Raubkopien von Spielen besuchten. Inzwischen haben sich die Angriffe jedoch auf ein breiteres Spektrum von Ressourcen ausgeweitet, darunter Wettbüros, Erwachsenen-Content-Plattformen und Anime-Communities.
Evolution der eingesetzten Malware
Die Kaspersky-Experten berichten, dass die Angreifer ihr Arsenal an Malware erweitert haben. Zusätzlich zum bereits bekannten Lumma-Stealer wird nun auch der Amadey-Trojaner eingesetzt. Beide Schadprogramme sind in der Lage, Login-Daten und Passwörter aus Browsern zu stehlen, Daten von Krypto-Wallets zu entwenden, Screenshots zu erstellen und Remote-Access-Tools zu installieren.
Zusätzliche Monetarisierungsmethoden
Nach der Infektion des Opfergeräts beginnt die Malware aktiv verschiedene Werbeadressen zu „besuchen“. Es wird vermutet, dass die Angreifer auf diese Weise zusätzliche Einnahmen generieren, indem sie die Anzahl der Werbeaufrufe von infizierten Geräten künstlich erhöhen.
Vasily Kolesnikov, Cybersecurity-Experte bei Kaspersky, kommentiert: „Der Kauf von Werbeplätzen für Banner, die Benutzer auf bösartige Seiten leiten, ist eine gängige Methode unter Cyberkriminellen. In dieser Kampagne haben sie jedoch ihre Reichweite erheblich erweitert, indem sie bösartige Werbung auf Websites verschiedener Themen platzierten und ein neues Szenario mit gefälschten Browserfehlern verwendeten.“
Diese Kampagne zeigt die zunehmende Raffinesse von Cyberkriminellen und unterstreicht die Bedeutung der Sensibilisierung der Nutzer für Social-Engineering-Methoden. Es wird empfohlen, besondere Vorsicht walten zu lassen, wenn man mit Werbebannern, CAPTCHAs und Browserfehler-Meldungen interagiert, insbesondere wenn diese ungewöhnliche Aktionen erfordern. Regelmäßige Software-Updates und der Einsatz zuverlässiger Sicherheitslösungen bleiben Schlüsselelemente für die Gewährleistung der Cybersicherheit in der heutigen Zeit. Nutzer sollten stets wachsam bleiben und im Zweifelsfall lieber einmal zu viel als zu wenig hinterfragen, um sich vor solch ausgeklügelten Angriffen zu schützen.