Thought Leadership
Das Cybersecurity- und Compliance-Unternehmen Proofpoint hat vier verschiedene Bedrohungscluster identifiziert, die gefälschte Browser-Updates zur Verbreitung von Malware nutzen.
Dabei kommen kompromittierte Websites zum Einsatz, bei denen eine vermeintliche Information des Browser-Anbieters (wie Chrome, Firefox oder Edge) angezeigt wird. Diese suggerieren dem potenziellen Opfer, dass eine Browser-Aktualisierung nötig ist. Sobald ein Benutzer auf den Link klickt, lädt er kein legitimes Browser-Update herunter. Stattdessen fängt er sich eine gefährliche Malware ein. Die Angreifer haben es dabei auch auf deutsche Internetuser abgesehen.
Den Recherchen von Proofpoint zufolge nutzt die cyberkriminelle Gruppe TA569 bereits seit über fünf Jahren gefälschte Browser-Updates, um die Malware SocGholish zu verbreiten. In jüngster Zeit nutzen auch andere Bedrohungsakteure diese Masche intensiv. Dabei setzen die unterschiedlichen Tätergruppen auf verschiedene Methoden, um mit entsprechenden Ködern ihre Schadsoftware zu verbreiten. Gemein ist diesen Methoden, dass sie sich dieselben Social-Engineering-Taktiken zunutze machen. Die Kriminellen missbrauchen dabei das Vertrauen der Nutzer in ihren Browser und bekannte Websites.
Um den Datenverkehr zu einer von ihnen kontrollierten Domäne zu leiten, nutzen die Angreifer JavaScript- oder HTML-Code. Die angezeigte Webseite ist dann individuell so gestaltet, dass sie speziell auf den vom potenziellen Opfer verwendeten Webbrowser zugeschnitten ist. Eine gefährliche Payload wird sodann automatisch heruntergeladen, oder der Benutzer erhält die Aufforderung zum Herunterladen eines „Browser-Updates“, das die Schadsoftware enthält.
Wie die Proofpoint-Experten attestieren, handelt es sich bei diesem Verbreitungsweg um ein gutes Beispiel für die Kombination von Social-Engineering-Taktiken und technischen Angriffswerkzeugen: „Unsere Security-Experten haben festgestellt, dass immer mehr cyberkriminelle Gruppen gefälschte Browser-Updates nutzen, um Menschen zum Download von Malware zu bewegen. Bei dieser Bedrohung werden spezielle technische Fähigkeiten mit Social Engineering kombiniert, um Menschen vorzugaukeln, dass ihr Browser veraltet sei.
Auf diese Weise können die Täter eine Vielzahl von Malware-Varianten verbreiten, die Daten stehlen, einen Computer fernsteuern oder sogar nachträglich zu einer Ransomware-Infektion führen. Diese Masche wird immer beliebter, wahrscheinlich einfach, weil sie funktioniert. Sie missbraucht den Wunsch vieler, ihre Geräte abzusichern und ihre Daten zu schützen, indem sie sie auf dem neuesten Stand halten, bewirkt aber genau das Gegenteil. Denn stattdessen wird der Rechner des Opfers mit Malware infiziert.“
Sind Browser-Updates als Köder lohnenswert für Cyberkriminelle?
Mit gefälschten Browser-Updates User in die Falle zu locken, ist eine effektive Taktik. Nicht zuletzt deshalb, weil die Täter dabei die Security-Trainings der Nutzer gegen sie verwenden. Im Rahmen von Sicherheitsschulungen werden Benutzer für gewöhnlich dazu aufgefordert, nur Updates zu akzeptieren oder auf Links zu klicken, die von bekannten und vertrauenswürdigen Websites stammen. Die gefälschten Browser-Updates missbrauchen diese vermittelte Herangehensweise, imdem sie vertrauenswürdige Websites kompromittieren und sich JavaScript-Anfragen bedienen, um im Hintergrund unbemerkt die vorhandene Website mit einem Browser-Update-Köder zu überschreiben. Für das potenzielle Opfer sieht es nach wie vor so aus, als ob es sich um dieselbe Website handelt, die es eigentlich besuchen wollte und die ihn nun auffordert, seinen Browser zu aktualisieren.
Proofpoint konnte keine Kampagnen identifizieren, bei denen die gefährlichen Links direkt via E-Mail verbreitet werden. Allerdings tauchen aufgrund der Art der Bedrohung kompromittierte URLs auf verschiedene Weise häufig im E-Mail-Verkehr auf. So begegnen entsprechende Links normalen Nutzern im alltäglichen E-Mail-Verkehr. Sie sind sich der Gefahr kompromittierter Websites jedoch nicht bewusst. Die Links lassen sich beispielsweise in Google Alerts oder in automatisierten Massen-E-Mails wie Newslettern finden. Security-Verantwortliche in den Unternehmen sollten die gefälschten Browser-Updates nicht nur als reines E-Mail-Problem betrachten. Denn die Nutzer können den Link aus auch einer anderen Quelle erhalten, z. B. mittels einer Suchmaschine oder eines sozialen Netzwerks.
Kampagnen
Aktuell gibt es vier verschiedene Bedrohungscluster, die in individuellen Kampagnen gefälschte Browser-Updates als Köder nutzen. Aufgrund der Ähnlichkeit der Köder und der Angriffskette wurden die Aktivitäten in einigen Veröffentlichungen fälschlicherweise demselben Bedrohungscluster zugeordnet. Da Proofpoint über umfassendere Daten zu den Kampagnen verfügt, waren die Security-Forscher des Unternehmens in der Lage, eine präzisere Unterteilung in detailliertere Cluster vorzunehmen.
Die vier Bedrohungscluster sind:
- SocGholish
Bei SocGholish handelt es sich um die bekannteste Bedrohung im Zusammenhang mit gefälschten Browser-Updates. Sie wurde in den vergangenen Jahren bereits gut dokumentiert. Proofpoint schreibt die SocGholish-Kampagnen einer als TA569 bekannten cyberkriminellen Gruppe zu. Proofpoint konnte auch beobachten, dass TA569 als Verteiler für andere Tätergruppen fungiert. - RogueRaticate/FakeSG
Der zweite Cluster mit gefälschten Browser-Updates, den Proofpoint identifizieren konnte, wird als „RogueRaticate“ oder „FakeSG“ bezeichnet. Erstmals registriert wurde diese Aktivität im Mai 2023. Einige Security-Experten anderer Anbieter bezeichneten sie als eine Kopie der bekannten, umfangreichen SocGholish-Kampagnen. Proofpoint ordnet die RogueRaticate-Aktivität derzeit keinem bekannten Bedrohungsakteur zu, sie unterschieden sich jedoch stets deutlich von SocGholish-Kampagnen. - ZPHP/SmartApeSG
Ein weiterer Cluster mit gefälschten Update-Kampagnen identifizierte Proofpoint erstmals im Juni 2023. Diese dienten zur Verbreitung des NetSupport Remote Access Trojaners (RAT). Trellix machte diese Aktivitäten erstmals im August 2023 öffentlich. Proofpoint bezeichnet sie als ZPHP oder SmartApeSG. - ClearFake
Im August 2023 veröffentlichten Security-Forscher eines Drittanbieters Details zu einer Bedrohung mit gefälschten Browser-Updates, die seither als ClearFake bezeichnet wird. Proofpoint konnte daraufhin Kampagnen identifizieren, die mit diesem Cluster in Verbindung stehen. Zudem konnte das Unternehmen in der kurzen Zeit der Überwachung eine Reihe von Veränderungen dieser Bedrohung registrieren.
Resümee
Die hier erörterten Aktivitäten sind für Sicherheitsteams eine Herausforderung, weil sie schwer zu erkennen und zu verhindern sind. Auch erschweren es die von den Tätern verwendeten Social-Engineering-Techniken und die Kompromittierung von Websites den Security-Verantwortlichen, ihren Mitarbeitern die richtigen Verhaltensweisen angesichts dieser Bedrohung zu vermitteln. Die beste Sicherheitsmaßnahme zum Schutz vor dieser Bedrohung ist eine umfassende Verteidigung. Unternehmen sollten über eine Network Detection verfügen – inklusive Regeln für neu auftretende Bedrohungen – und auf Endpoint Protection setzen. Darüber hinaus sollten Organisationen ihre Benutzer darin schulen, entsprechende Angriffe zu erkennen und verdächtige Aktivitäten an ihre Sicherheitsteams zu melden. Dabei handelt es sich um eine sehr spezifische Schulung, die leicht in ein bestehendes Programm für das Security Awarness Training integriert werden kann.
www.proofpoint.com/de
