Malvertising: BlackCat-Ransomware versteckt sich hinter Fake-WinSCP-Tool
Die Hintermänner des Verschlüsselungstrojaners BlackCat (aka ALPHV) setzen auf einen weiteren Verbreitungsweg.
(Bild: Foxeel,Shutterstock.com)
Wer über eine Internetsuche Tools zum Download sucht, sollte stets aufpassen: Regelmäßig platzieren Kriminelle in Suchergebnissen Anzeigen, um via Malvertising Fake-Tools mit einem Trojaner im Gepäck zu verbreiten. Das ist nun auch bei BlackCat (aka ALPHV) für Windows der Fall.
Obacht bei der Internetsuche
Davon berichten jetzt Sicherheitsforscher von Trend Micro. Dabei sind sie auf via Bing und Google auf Malvertising-Anzeigen zum Open-Source-FTP-Client WinSCP gestoßen. Klickt ein Opfer in einem Beispiel auf ein Suchergebnis in Bing, landet er auf einer Website mit einem Tutorial für WinSCP. Der Verweis auf der Website zum Download des Tools führt aber nicht auf die legitime Seite winscp.net, sondern winsccp.com. Oft nutzen Kriminelle URLs, deren Vertipper im Vergleich zur Original-Website im besten Fall nicht auf den ersten Blick auffallen.
Fällt ein Opfer darauf rein und klickt auf Download, landet eine ISO-Datei auf dem PC. Darin befindet sich eine Setup- und eine DLL-Datei. Führt das Opfer die Setup-Datei aus, wird auch WinSCP installiert, nur im Hintergrund gelangt noch weiter Code auf den Computer.
Weitreichender Zugriff
Darüber haben die Betrüger Zugriff auf den PC und können mit ihren Command-and-Control-Servern kommunizieren und Malware installieren. So lesen sie etwa mit dem Tool AdFind Informationen von Active-Directory-Umgebungen aus. Mit den Informationen können Angreifer im schlimmsten Fall weitreichend auf das AD zugreifen, führen die Sicherheitsforscher aus.
Über AnyDesk richten sie sich dann Fernzugriff ein und ein Computer gilt als vollständig kompromittiert. Natürlich laden die Kriminellen darüber auch ihre Ransomware BlackCat auf PCs.
Um Malvertising-Attacken zu vermeiden, müssen Mitarbeiter unter anderem auf Phishing geschult werden. Außerdem sollten Downloads aus vertrauenswürdigen Portalen wie heise Download stammen.
Malvertising-Tsunami
Erst im April verbreiteten Cybergangster die Bumblebee-Malware über Malvertising. Bereits seit Anfang 2023 sprechen Sicherheitsforscher von einem „Malvertising-Tsunami“.
(des)
