https://www.8com.de/cyber-security-blog
Gefälschte Browser-Updates zielen aktuell auf Mac-, Windows- und Android-Nutzer ab und verbreiten Malware wie FrigidStealer, Lumma Stealer und Marcher-Trojanerüber kompromittierte Websites.
(PresseBox) - Cybersecurity-Forscher von Proofpoint haben zwei neue Hackergruppen identifiziert, die hinter einer Welle von gefälschten Browser-Updates stecken, durch die Nutzer mit Malware infiziert werden sollen. Dafür nutzen die Kriminellen kompromittierte Websites, um Besucher dazu zu verleiten, Malware herunterzuladen, zu der jetzt auch ein neu entdeckter, Mac-spezifischer Info Stealer namens FrigidStealer gehört.
Grundlage dieser Masche sind sogenannte Web Injects, eine Technik, bei der die Angreifer bösartigen Code in einer legitimen Webseite einfügen. Besucht ein Nutzer diese infizierte Website, wird eine gefälschte Aufforderung eingeblendet, dass ein Browser-Update heruntergeladen und installiert werden solle. Hinter diesem vermeintlichen Update steckt jedoch Malware, die sensible Daten stehlen oder weitere Malware installieren soll.
Hinter den Angriffen stecken laut den Sicherheitsforschern zwei Hackergruppen namens TA2726 und TA2727. TA2726 agiert hauptsächlich als Traffic-Verkäufer und bietet einen Redirection Service für andere Cyberkriminelle an. Dabei arbeiten die Cyberkriminellen offenbar auch mit weiteren Hackergruppen wie TA569 zusammen, die bereits seit geraumer Zeit für andere Kampagnen mit Fake-Updates verantwortlich sind. TA2727 hingegen verbreite laut Proofpoint selbst aktiv Malware via Fake-Updates, um Benutzer zu täuschen.
Interessant ist auch, dass TA2727 offenbar je nach Standort des Opfers unterschiedliche Malware ausliefert. In den USA und Kanada wurden die Benutzer auf die SocGholish-Installation geleitet. In Europa hingegen wurde Windows-Nutzern mit einer gefälschten Browser-Update-Aufforderung die Malware Lumma Stealer ausgespielt, während Android-Nutzer mit dem Banking-Trojaner Marcher angegriffen wurden.
Besonderes Augenmerk legen die Sicherheitsforscher in ihrem Bericht auch auf die neu entdeckte Malware FrigidStealer, die es auf Mac-Nutzer abgesehen hat. Der Angriff beginnt mit einer gefälschten Update-Nachricht, die den Nutzer zu einer bösartigen Datei umleitet. Wird diese angeklickt, installiert sie, getarnt als Browser-Update– sowohl bei Chrome als auch bei Safari – den Info Stealer. Die Malware sammelt dann heimlich sensible Daten wie Browser-Cookies, Dateien mit Passwörtern sowie Kryptowährungen und sogar Apple Notes, genau wie die kürzlich entdeckte neue Variante der XCSSET-Malware.
Die Malware ist in der Programmiersprache Go geschrieben und verwendet WailsIO, ein Framework, das das gefälschte Update-Fenster realistisch aussehen lässt. Außerdem umgeht sie die Gatekeeper-Sicherheitsfunktion des Mac, indem sie den Benutzer auffordert, mit der rechten Maustaste zu klicken und „Öffnen“ auszuwählen – ein üblicher Trick von Mac-Malware-Autoren.
Schutz vor derartigen Angriffen bietet ein gewisses Misstrauen gegenüber Dateien aus unbekannten Quellen – selbst, wenn diese sich als legitimes Update ausgeben. Vor der Installation und dem Klick auf Links und Dateien empfiehlt es sich außerdem, diese durch Websites wie VirusTotal oder Any.Run überprüfen zu lassen.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischemKnow-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com ist das einzige in der DACH-Region, das ISO 27001-zertifiziert ist auf Basis von BSI IT-Grundschutz.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam einökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com ist das einzige in der DACH-Region, das ISO 27001-zertifiziert ist auf Basis von BSI IT-Grundschutz.
Datum: 26.02.2025 - 10:56 Uhr
Sprache: Deutsch
News-ID 2154896
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Felicitas KrausJulia Olmscheid
Stadt:
Neustadt an der Weinstraße
Telefon: +49 (30) 30308089-14+49 6321 484460
Kategorie:
Dieser Fachartikel wurde bisher 4 mal aufgerufen.
Der Fachartikel mit dem Titel:
"https://www.8com.de/cyber-security-blog"
steht unter der journalistisch-redaktionellen Verantwortung von
8com GmbH&Co. KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).