Woche 45: Wie Angreifer versuchen, mit betrügerischen CAPTCHAs und vermeintlichen Updates Schadsoftware zu verteilen

12.11.2024 - In der vergangenen Woche häuften sich die Meldungen beim BACS über kompromittierte Webseiten, welche bei den Besucherinnen und Besuchern den Anschein erwecken sollen, dass der Browser aktualisiert oder ein CAPTCHA gelöst werden müsse. Ziel ist es, die Geräte der Webseiten-Besucherinnen und -Besucher mit Schadsoftware zu infizieren.

Im Vorfeld werden bei der aktuellen Vorgehensweise Webserver gehackt und die Websites dahingehend manipuliert, dass sie ein Opfer verleiten, eine Schadsoftware zu installieren. Zugang zu den Webservern verschaffen sich die Angreifer in der Regel mittels gestohlener Zugangsdaten. Daraufhin werden bösartige JavaScript-Blöcke eingeschleust, Weiterleitungen platziert oder aber gefälschte Plugins im CMS installiert. Welche Methoden die Angreifer dabei anwenden, zeigen die nachfolgenden zwei Beispiele:

Falsche Browser Updates

Abbildung 1: Aufforderung zur Aktualisierung einer angeblich veralteten Version von Google Chrome.
Abbildung 1: Aufforderung zur Aktualisierung einer angeblich veralteten Version von Google Chrome.

Die Wichtigkeit von Updates ist mittlerweile allgemein bekannt. Im ersten Fall nutzen Angreifer diesen Umstand gezielt aus, um Schadsoftware einzuschleusen. Der Infektionsversuch startet bereits, wenn Besucher die kompromittierte Website aufrufen. Beim Laden wird der schädliche JavaScript-Code oder das bösartige Plugin ausgeführt und die Besucherinnen und Besucher werden auf eine gefälschte Update-Seite geleitet. Anschliessend werden diese dann angeleitet, die Schadsoftware auf dem Rechner zu installieren, die sich z. B. als Google Chrome Browser Update tarnt. Bei der Schadsoftware handelt es sich um einen «Infostealer» wie zum Beispiel «Vidar Stealer». Vidar sammelt Informationen über das Betriebssystem, Kontoanmeldeinformationen, Kreditkartendaten oder den Browserverlauf. Die Schadsoftware sammelt jedoch nicht nur sensible Daten, sondern kann auch als Downloader für andere Malware eingesetzt werden.

Falsche CAPTCHAs und ein Powershell-Skript

Abbildung 2: Betrügerische Aufforderung zum Lösen eines CAPTCHA
Abbildung 2: Betrügerische Aufforderung zum Lösen eines CAPTCHA

Viele kennen die Aufforderung bei Internetformularen, bei welchen man bestätigen muss, dass man ein Mensch und kein Roboter ist. Bei diesen so genannten CAPTCHAs muss man beispielsweise Rechenaufgaben lösen oder auswählen, wo überall in einem Bild Tiere, Autos, Brücken usw. abgebildet sind. Doch Captchas können auch von Angreifern missbraucht werden. Bei dieser Methode werden die Besucher der Webseite auf eine falsche CAPTCHA-Seite gelockt, oft über kompromittierte legitime Anbieter oder öffentlich zugängliche CAPTCHA Dienste. Durch das Anklicken der Schaltfläche «Ich bin kein Roboter» wird in diesen Fällen ein bösartiges PowerShell-Skript in die Zwischenablage des Benutzers kopiert. Ein PowerShell-Skript ist eine Text-Datei, welche die Befehle enthält, die der Computer ausführen soll. Die Benutzer werden dann dazu verleitet, dieses Skript mit dem Drücken der Windows-Taste + R und anschliessend mit Ctrl + V einzufügen und auszuführen. Danach verbindet sich der Computer mit einem Server der Angreifer und eine Schadsoftware wird heruntergeladen und installiert. Dem BACS wurde gemeldet, dass auf diese Weise der Infostealer «Lumma Stealer» verbreitet wird. «Lumma Stealer» zielt auf Webbrowser, Kryptowährungs-Wallets, Erweiterungen für die Zwei-Faktor-Authentisierung und Instant-Messaging-Dienste wie Telegram ab, um wertvolle Daten zu extrahieren. Die Schadsoftware ist, wie der «Vidar Stealer» auch, in der Lage, zusätzliche Malware einzuschleusen und weitere Befehle auszuführen.

Empfehlungen für Besucher von Websites

  • Seien Sie vorsichtig bei der Installation von Programmen. Laden Sie Programme nur aus sicheren und vertrauenswürdigen Quellen herunter;
  • Seien Sie vorsichtig, wenn ein Pop-up Fenster eingeblendet wird, welches Sie auffordert, Ihren Browser oder eine Software zu aktualisieren;
  • Seien Sie bei ungewöhnlichen CAPTCHAs vorsichtig;
  • Schliessen Sie jedes Fenster mit einem potenziell schädlichen Pop-up oder CAPTCHA;
  • Befolgen Sie die offiziellen Update-Richtlinien der Browser-Hersteller;
  • Wenn Sie den Verdacht haben, dass Ihr Rechner mit einer Schadsoftware infiziert ist, wenden Sie sich an einen Spezialisten oder ein Computerfachgeschäft;
  • Viele Schadprogramme nehmen tiefgreifende Änderungen am System vor, die nicht einfach rückgängig gemacht werden können. Bei einer bestätigten Infektion sollte daher das gesamte System neu aufgesetzt werden. Regelmässige Backups erleichtern die Wiederherstellung Ihrer Daten;
  • Ändern Sie nach der Neuinstallation bei allen Online-Zugängen (E-Mail, soziale Netzwerke usw.) Ihre Passwörter.

Empfehlungen für Betreiber von Websites

  • Überprüfen Sie Ihre Website auf Sicherheitslücken und stellen Sie sicher, dass niemand mehr unbefugten Zugriff hat;
  • Aktivieren Sie für den Zugang zu Ihrer Website die Zwei-Faktor-Authentifizierung;
  • Bereinigen Sie Ihre Website und entfernen Sie alle unerwünschten Inhalte;
  • Aktualisieren und überprüfen Sie regelmässig Ihre Website und die installierten Plugins;
  • Installieren Sie insbesondere verfügbare Updates für CMS-Systeme und alle übrigen Software-Anwendungen so schnell wie möglich, um potenziell vorhandene Sicherheitslücken umgehend zu schliessen.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 12.11.2024

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2024/wochenrueckblick_45.html