Vor kurzem haben die Sicherheitsexperten von CloudSEK in einem Blogbeitrag eine neue Angriffskampagne von Cyberkriminellen vorgestellt. Deren primäre Zielgruppe: Youtube-Influencer. Unter Vorspiegelung falscher Tatsachen werden diese dazu verleitet, Malware zu installieren, die es den Angreifern dann entweder ermöglicht, sich Zugriff auf deren Systeme zu verschaffen oder vertrauliche Daten zu entwenden.
Um geeignete Opfer aufzuspüren, deren Daten zu extrahieren und E-Mail-Adressen zu sammeln, setzen die Angreifer Multi-Parser-Tools auf Youtube an. Dann kommt ein Browser-Automatisierungs-Tool zum Einsatz, mit dem die E-Mails über SMTP-Server via Massenversand an ihre Opfer verschickt werden.
In den E-Mails geben sich die Angreifer als Mitarbeiter bekannter Marken aus, die an einer Zusammenarbeit interessiert sind. Um möglichst glaubwürdig zu erscheinen, kommen hierbei auch gefälschte und kompromittierte E-Mail-Adressen zum Einsatz. Den Opfern wird für eine Werbekooperation ein lukratives Angebot, basierend auf der Anzahl ihrer Abonnenten, unterbreitet. Die E-Mails sind überzeugend und in einem professionellen Stil gehalten.
Die Malware nun, ist entweder in den Anhängen der E-Mail, in Word-Dokumenten, PDFs oder Excel-Dateien, oder in einer verlinkten ZIP-Datei auf OneDrive versteckt – getarnt als Geschäftsangebot, Vertrag, oder Werbematerial. In letzterem Fall befinden sich am Ende der E-Mail ein OneDrive-Link für den Zugriff auf eine mit einem Passwort gesicherte Zip-Datei. Klickt das Opfer auf den Link, wird es auf die OneDrive-Seite weitergeleitet.
Lädt sich ein Opfer nun die Zip-Datei herunter und extrahiert sie – oder lädt sich einen der Anhänge herunter – wird Malware auf seinem System installiert. Um deren Erkennung durch gängige Sicherheitsfilter und Antivirenlösungen zu umgehen, ist die bösartige Nutzlast dabei in zwei komprimierte Dateien eingebettet. Sobald das Archiv extrahiert ist, wird die Malware bereitgestellt und beginnt, das System des Empfängers zu kompromittieren.
Die Malware ist dabei in der Regel darauf ausgelegt, dem Angreifer Fernzugriff zu gewähren oder vertrauliche Daten, wie Anmeldedaten, Finanzinformationen und geistiges Eigentum, zu entwenden. Gestohlene Daten, wie Browser-Anmeldeinformationen, Cookies und Clipboard-Daten, werden hierbei an einen Command-and-Control-Server (C2), der sich unter Kontrolle des Angreifers befindet, weitergeleitet.
Hauptzielgruppe der Angriffskampagne sind Content-Kreatoren und Online-Influencer – vor allem solche, die auf YouTube operieren. Zwei Opfergruppen also, die eigentlich gut mit dem Internet, seinen derzeitigen Risiken und Gefahren vertraut sein sollten. Der Umstand, dass Cyberkriminelle sich dennoch gerade diesen Personenkreis zur Zielgruppe genommen haben, lässt dementsprechend tief blicken.
Auch hier wird eingehenden E-Mails immer noch viel zu häufig mit zu viel Vertrauen statt dem erforderlichen Misstrauen begegnet, fallen Online-Nutzer immer noch viel zu leicht auf Social-Engineering-Angriffe herein.
Das Beispiel der neuartigen Angriffskampagne auf Youtube-Influencer zeigt: es muss noch mehr getan werden. Privatpersonen müssen sich mehr über aktuelle Risiken und Gefahren des World-Wide-Web auf dem Laufenden halten, Unternehmen mehr tun, mehr investieren, um die Sicherheitskultur ihrer Belegschaft zu erhöhen, das Sicherheitsbewusstsein ihrer Mitarbeiter zu verbessern. Neben einem Mehr an Fortbildungen und Trainings werden sie dabei auch an regelmäßigeren Phishing-Tests nicht herumkommen. Anders wird sich die stetig wachsende Gefahr erfolgreicher Phishing-, Spear Phishing- und Social-Engineering-Angriffe nicht in den Griff bekommen lassen.
#KnowBe4
