Anzeige

Firefox Hacker

Quelle: rafapress / Shutterstock.com

Sicherheitsforscher von Proofpoint haben eine neue Cyberattacke entdeckt. Über eine bösartige Browser-Erweiterung für Mozilla Firefox in Kombination mit der Scanbox-Malware gelang es Kriminellen, die Gmail-Konten ihrer Opfer zu übernehmen.

Dort konnten sie das Postfach durchsuchen, E-Mails lesen, senden, löschen, weiterleiten und archivieren sowie Benachrichtigungen zum betroffenen Konto empfangen. Außerdem ermöglicht die Malware den Zugang zu umfangreichen Browser-Informationen wie den Nutzerdaten unterschiedlicher Websites, den Privatsphäre-Einstellungen oder den Zugriff auf Browsertabs.

Ursprung der Attacke waren Phishing-Mails, die eine manipulierte URL enthielten, die als YouTube-Link getarnt war. Anstatt zum Videoportal gelangten die Opfer jedoch zu einer gefälschten Update-Seite des Adobe Flash Players, auf der verschiedene JavaScript-Dateien ausgeführt wurden. Dadurch erfolgte ein Selektionsprozess, bei dem überprüft wurde, ob der jeweilige Besucher der Seite überhaupt zur Zielgruppe gehört, also Gmail-Nutzer ist und gerade über Firefox auf sein Konto zugreift. War das der Fall, wurde die Friar-Fox-Malware ausgespielt und der Download begann. Danach mussten die Nutzer der Installation der Browser-Erweiterung allerdings noch zustimmen, weshalb diese sich im entsprechenden Dialogfeld als „Flash update components“ ausgab. Bei einem erfolgreichen Angriff kontaktierte FriarFox dann einen Server der Kriminellen, um mit Scanbox die zweite Komponente des Angriffs herunterzuladen. Diese Spionage-Software ermöglichte es dann, weitere Informationen über das System des Opfers herauszufinden.

Den Ursprung der Attacken konnten die Sicherheitsforscher zu einem bekannten Gmail-Account der chinesischen Hackergruppe TA413 zurückverfolgen. Von diesem Account wurden die Phishing-Mails der aktuellen Kampagne an verschiedene Organisationen in Tibet verschickt. Absender sollte das Büro des Dalai Lama in Indien sein. Es ist anzunehmen, dass mit den von FriarFox gewonnenen Informationen politischer Druck ausgeübt werden sollte. In anderen Kampagnen wurde FriarFox bislang noch nicht beobachtet, wobei die Betonung auf bislang liegt, denn die Möglichkeiten der Malware ließen sich auch leicht zur Industriespionage einsetzen, insbesondere da immer mehr Unternehmen unterschiedlicher Größe Gmail für ihre E-Mail-Kommunikation nutzen.

Um sich vor solchen Attacken zu schützen, empfiehlt es sich, ohne Administratorrechte ins Netz zu gehen. Malware hat so kaum eine Chance, sich im Hintergrund zu installieren. Auch wenn diese Maßnahme für den Systemadministrator eventuell Mehrarbeit bedeutet. Wenn nur er in der Lage ist, neue Programme zu installieren, führt allein diese Maßnahme bereits zu einer deutlich verbesserten Sicherheit. Für Unternehmen empfiehlt es sich außerdem, eine Update-Routine zu etablieren, damit einzelne Nutzer nicht in die Versuchung kommen, Updates aus womöglich nicht vertrauenswürdigen Quellen zu installieren. In diesem speziellen Fall kommt hinzu, dass der Flash-Player von Adobe zum 31.12.2020 eingestellt wurde – neue Updates sind damit nicht zu erwarten und die Software, die bereits in der Vergangenheit anfällig für Hackerattacken war, sollte umgehend von allen Rechnern deinstalliert werden.

www.8com.de
 


Weitere Artikel

Hacker

Wenn Prometheus das Feuer stiehlt

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen…
Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…
Ransomware

1 von 5 Unternehmen war schon Opfer von Ransomware

Eine kürzlich durchgeführte Umfrage der Cybersecurity-Experten von Hornetsecurity unter mehr als 820 Unternehmen ergab, dass 21 % der Befragten bereits Opfer eines Ransomware-Angriffs wurden. Ransomware ist eine der häufigsten und effektivsten Formen der…
Cybercrime

NSA warnt vor Wildcard-Zertifikaten und Alpaca-Angriffen

Die NSA hat Anfang Oktober eine Warnung und Anleitung herausgegeben, wie sich Unternehmen vor Alpaca-Angriffen schützen können, indem sie ihre Wildcard-Zertifikate besser kontrollieren. Die NSA warnt vor dem neuen Application Layer Protocol Content Confusion…
Spam Mails

Was ist Spam und wer profitiert davon?

Mit Spam werden unerwünschte E-Mails bezeichnet, die in gigantischen Mengen über ein elektronisches Nachrichtensystem oder über das World Wide Web versandt werden. Erfahren Sie im folgenden Artikel, was Spam ist, wie es funktioniert, wie Sie Spam erkennen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.