Bedrohungsakteur nutzt Phishing, um für Ransomware-Gruppen in Organisationen einzudringen.
- Markus Haas
- vor 14 Stunden
- 1 Min. Lesezeit
Ein Initial-Access-Broker, der mit der Ransomware-Gruppe Payouts King in Verbindung steht, nutzt Microsoft-Teams-Phishing, um eine schädliche Microsoft-Edge-Browsererweiterung zu installieren, berichten Forschende von Zscaler. Sobald sich die Angreifer in einer Organisation festgesetzt haben, verkaufen sie den Zugriff an die Ransomware-Gruppe, damit diese weitere Angriffe durchführen kann.
«Bei jüngsten Angriffen setzt der Bedrohungsakteur Social-Engineering-Taktiken in Kombination mit einem innovativen Mechanismus zur Malware-Verteilung ein», schreiben die Forschenden. «Die Technik nutzt eine schädliche Microsoft-Edge-Browsererweiterung, die das Chrome-Native-Messaging-Protokoll ausnutzt, um mit nativen Anwendungen des Hosts ausserhalb der Grenzen der Browser-Sandbox zu interagieren. Durch den Missbrauch dieser Schnittstelle erhalten die Angreifer direkten Zugriff auf den Host. Dadurch können sie das lokale Dateisystem manipulieren, Prozesse starten und beliebigen Code auf dem kompromittierten Host ausführen.»
Die Angreifer beginnen damit, dem Opfer eine Teams-Nachricht zu senden, in der sie sich als IT-Mitarbeitende der Organisation ausgeben und behaupten, der Benutzer benötige ein Spamfilter-Update. Der Benutzer wird auf eine gefälschte Microsoft-Website weitergeleitet, auf der eine Reihe von Schaltflächen zur Installation der Malware vorgesehen ist. Am Ende wird das Opfer aufgefordert, sein Microsoft-365-/Outlook-Passwort einzugeben.
«Da Bedrohungsakteure wie jene, die mit Payouts King in Verbindung stehen, weiterhin Social Engineering wie Spam-Bombing und Vishing zusammen mit innovativen Verteilmechanismen einsetzen, müssen Organisationen eine mehrschichtige Sicherheitsstrategie verfolgen», so Zscaler. «Dazu gehören eine robuste Überwachung von Browsererweiterungs-Installationen, eine strikte Kontrolle der Konfigurationen nativer Messaging-Hosts sowie umfassende Schulungen der Benutzerinnen und Benutzer, damit sie verdächtige Aufforderungen erkennen und melden können – insbesondere dann, wenn diese legitime IT-Administrationsupdates oder Verwaltungskonsolen imitieren.»
Das CSF Computer Solutions Facility AG Sicherheitsteam

Kommentare