Sicherheitsexperten von Proofpoint haben eine wachsende Bedrohung durch sogenannte „Fake-Update“-Angriffe festgestellt. Bei diesen Angriffen werden gefälschte Update-Benachrichtigungen verwendet, um Benutzer zur Installation von Malware zu verleiten. Dabei tun sich zwei neu identifizierte Bedrohungsakteure hervor (TA2726 und TA2727), die die Verbreitung von Malware über kompromittierte Webseiten vorantreiben.
Die Angreifer setzen der Untersuchung zufolge dabei auf Techniken wie Traffic Distribution Services (TDS), um den Datenverkehr gezielt auf kompromittierte Webseiten umzuleiten. Auf diesen Websites werden den Nutzern gefälschte Update-Benachrichtigungen angezeigt, um sie zum Download von Malware zu verleiten. Besonders auffällig sei, dass die Angreifer zunehmend maßgeschneiderte Malware einsetzten, die für verschiedene Plattformen optimiert seien. „Während Malware für Windows und Android bereits weit verbreitet ist, hat Proofpoint auch eine neue Mac-Malware namens „FrigidStealer“ entdeckt. Diese Malware erbeutet sensible Nutzerdaten wie Browser-Cookies und Passwörter und überträgt sie an die Angreifer“, teilte der Sicherheitsanbieter mit.
Ein weiteres beunruhigendes Detail sei die zunehmende Regionalisierung der Angriffsstrategien. Proofpoint beobachtete, dass je nach geografischem Standort des Nutzers unterschiedliche Payloads ausgeliefert werden. Dies erschwere die Erkennung der Angriffe erheblich, weil die Malware je nach Betriebssystem und Browser des Benutzers variiere. Dass TA2726 als Traffic-Distributor fungiere und den Datenverkehr gezielt zu anderen Akteuren wie TA569 und TA2727 umleite, mache die Angriffe noch effizienter.
Weil diese Angriffe auf gängigen Web-Techniken und Social-Engineering-Methoden basieren, sind sie besonders schwer zu erkennen“, so Proofpoint weiter. „Unternehmen schenken der Sicherheit ihrer Websites und Webserver oft zu wenig Beachtung, obwohl diese ein beliebtes Ziel für Angreifer sind. Proofpoint empfiehlt daher, die Netzwerksicherheit und den Endgeräteschutz zu verstärken, um solchen Bedrohungen vorzubeugen“. Zudem rät Proofpoint, dass Unternehmen ihre Mitarbeiterinnen und Mitarbeiter regelmäßig schulen, um verdächtige Aktivitäten frühzeitig zu erkennen und zu melden. Proofpoint empfiehlt auch weitere Schutzmaßnahmen wie den Einsatz von Browser-Isolationstechnologien, die verhindern, dass schädliche Webseiten auf den Endgeräten der Nutzer Schaden anrichten können.
Kommentare