Tech-Support-Scams

Modulare Malware macht Tech-Support-Scams besonders gefährlich

, KnowBe4 | Autor: Dr. Martin J. Krämer

Modulare Malware macht Tech-Support-Scams besonders gefährlich

Angreifer kombinieren Social Engineering mit neuer Malware-Suite

Von Dr. Martin J. Krämer, CISO Advisor bei KnowBe4

Vor kurzem hat die Google Threat Intelligence Group (GTIG) in einem Blogbeitrag von einer neuen, unlängst aufgespürten Tech Support Scam-Kampagne berichtet. Um die Netzwerke ihrer Opfer zu kompromittieren, setzen die Angreifer auf Social Engineering, Phishing und eine maßgeschneiderte, modular aufgebaute Malware-Suite.

Dr. Martin J. Krämer
Dr. Martin J. Krämer, CISO Advisor bei KnowBe4

Zu Beginn des Angriffs wird der Posteingang des ausgemachten Opfers – wie so oft – mit einer Flut von Spam-E-Mails attackiert. Kurz darauf kontaktiert dann der Angreifer, der sich als Mitarbeiter des IT-Supports der Firma, in der das Opfer arbeitet, ausgibt, dieses per Microsoft Teams.

Er erklärt dem Opfer, dass seine Systeme ihm die Spam-Flut bereits gemeldet hätten, und bietet ihm seine Hilfe an, das Problem abzustellen.

Hierzu fordert er das Opfer auf, einen Link anzuklicken – angeblich um einen lokalen Spam-Schutz-Patch zu installieren. Tatsächlich führt der Link das Opfer aber zu einer als ‚Mailbox Repair Utility‘ getarnten Phishing-Webseite.

Auf der Phishing-Webseite angekommen, wird das Opfer dann aufgefordert, sein Passwort einzugeben. Kommt das Opfer der Aufforderung nach, erhält es von der Fake-Webseite zweimal die Nachricht, dass die Eingabe abgelehnt worden sei – angeblich abgelehnt. Denn: tatsächlich soll beim Opfer nur das Gefühl gestärkt werden, dass es sich bei der Fake-Webseite um eine legitime Echtzeit-Validierung handelt – und beim Angreifer für Sicherheit gesorgt werden, dass er das Passwort des Opfers ohne einen Tippfehler erhalten hat. Hat das Opfer sein Passwort dreimal eingegeben, wird auf der Webseite ein manipulierter Ladebalken aktiviert. Während dieser lädt, werden die Credentials des Opfers im Hintergrund an einen vom Angreifer kontrollierten AWS S3-Bucket übermittelt – und das System des Opfers mit Malware infiziert. Hierzu wird zunächst ein getarntes AutoHotkey-Binärprogramm heruntergeladen. Aus diesem entfaltet sich dann das modulare SNOW-Ökosystem, das aus drei eng verzahnten Kernkomponenten besteht: SNOWBELT (Browser-Erweiterung), SNOWGLAZE (Python-Tunneler) und SNOWBASIN (Python-Bindshell). Ausgestattet mit dieser Malware ist es dem Angreifer dann problemlos möglich, ein ganzes Unternehmensnetzwerk zu infiltrieren.

Eine Kernkomponente des Erfolgs der Kampagne ist die systematische Nutzung legitimer Cloud-Dienste für die Bereitstellung von Payloads und die C2-Kommunikation. Durch sie kann der Angreifer herkömmliche Reputationsfilter weitgehend problemlos umgehen. Sein bösartiger Datenverkehr geht im massiven Rauschen der alltäglichen Cloud-Nutzung weitgehend unter.

Für Sicherheitsteams bedeutet dies: Reines Prozess-Monitoring reicht nicht mehr aus. Um Angriffe wie diesen frühzeitig zu stoppen, bedarf es einer tiefgreifenden Transparenz der Browser-Aktivitäten, der Überwachung von unautorisiertem Cloud-Traffic, der intelligenten Korrelation isolierter Ereignisse über Endpunkte und Netzwerke hinweg, sowie: einer systematischen und umfassenden Erweiterung des Cybersicherheitsbewusstseins der gesamten Belegschaft.

Am effektivsten und zugleich umfassendsten lässt sich dieses gesteigerte Sicherheitsbewusstsein durch den Einsatz moderner Digital-Workforce-Security-Systeme fördern. Dank künstlicher Intelligenz können Phishing-Trainings, Schulungen und Tests heute personalisiert sowie automatisiert und kontinuierlich durchgeführt werden, um Mitarbeitende nachhaltig zu sensibilisieren und zu stärken.