Verseuchter IP-Scanner

Wenn die Malware nicht per E-Mail kommt

Uhr
von René Jaun und kfi

Cyberangriffe starten oftmals per E-Mail oder Messenger. Aber Kriminelle bedienen sich auch anderer Methoden, um Schadsoftware zu verteilen. Kaspersky schildert den Fall eines guten Netzwerktools mit bösartiger Hintertür.

(Source: Bitter / AdobeStock.com)
(Source: Bitter / AdobeStock.com)

An Anfang vieler erfolgreicher Cyberangriffe steht eine E-Mail oder eine Nachricht in einem Instant Messenger. Cyberkriminelle versuchen ihre potenziellen Opfer in die Falle zu locken, indem sie grosse Gewinne versprechen, ein Erbe eines Unbekannten in Aussicht stellen oder vorgeben, dass der Computer gehackt worden sei. Nicht immer ist der Betrug offensichtlich, denn die Angreifer werden immer geschickter, wie Sie hier lesen können.

Doch die E-Mail ist nur ein mögliches Einfallstor für bösartige Hacker. Eine andere Möglichkeit stellt manipulierte Software dar, wie Kaspersky berichtet. Als Beispiel schildert das Cybersecurity-Unternehmen den Fall einer Malware namens "Advanced IP Spyware". Dabei handelt es sich um eine Backdoor-Version von "Advanced IP Scanner", einem Tool, welches von Netzwerkadministratoren zur Analyse lokaler Netzwerke verwendet werde.

Die Kriminellen boten ihre verseuchte Version des Tools auf Websites an, deren Adressen bis auf einen einzigen Buchstaben gleich waren wie jene des offiziellen IP-Scanners. Auch visuell sahen die Websites der Hacker gleich aus wie jene des legitimen Tools. Der einzige Unterschied war die Schaltfläche "kostenloser Download" auf den schädlichen Websites, merkt Kaspersky an. Zudem gelang es den Kriminellen, die Backdoor-Version des Netzwerktools mit einem legitimen Zertifikat zu signieren. Dieses wurde zuvor höchstwahrscheinlich gestohlen, analysiert Kaspersky.

Mit ihrem Vorgehen waren die Cybergauner erfolgreich. Laut Kaspersky traf "Advanced IP Spyware" Unternehmen in Westeuropa, Lateinamerika, Afrika, Südasien, Australien sowie den GUS-Staaten. Insgesamt zählte Kaspersky etwa 80 Opfer.

So schützt man sich

Das Unternehmen rät Systemadministratoren, eine zuverlässige Endpoint-Sicherheitslösung einzusetzen, Mitarbeitende für solche Angriffe zu sensibilisieren und sich bezüglich aktueller Bedrohungsinformationen auf dem Laufenden zu halten. Ausserdem rät das Unternehmen zu folgendem:

  • Remote-Desktop-Dienste (wie RDP) nicht in öffentlichen Netzwerken zur Verfügung stellen, es sei denn, dies ist unbedingt erforderlich.

  • Für jeden Dienst ein eigenes sicheres Passwort verwenden.

  • Umgehend verfügbare Patches für kommerzielle VPN-Lösungen installieren, die den Zugriff für Remote-Mitarbeitende ermöglichen und als Gateways im Netzwerk fungieren.

  • Software auf allen Geräten stets aktuell halten, um zu verhindern, dass Schwachstellen ausgenutzt werden.

  • Die Verteidigungsstrategie sollte darauf ausgelegt sein, seitliche Bewegungen und Datenexfiltration ins Internet zu erkennen. Dabei sollte besonders auf den ausgehenden Datenverkehr geachtet werden, um die Verbindungen von Cyberkriminellen zu erkennen.

  • Daten regelmässig sichern und sicherstellen, dass man im Notfall schnell darauf zugreifen kann.

Auch den Tor-Browser haben Hacker bereits für ihre bösartigen Machenschaften missbraucht. Das Programm sorgt eigentlich dafür, dass seine Nutzerinnen und Nutzer praktisch unentdeckt im Internet surfen können. Doch die Kopien des Programms, welche Cyberkriminelle anbieten, tun genau das Gegenteil, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_271312