SocGholish: Angriff auf Browser, Flash und Microsoft Teams

Sicherheitsforscher von Menlo Labs haben eine zunehmende Kampagne entdeckt, bei der Browser, Flash und Microsoft Teams über eine Drive-by-Infektion kompromittiert werden. Die Cyber-Angreifer bietet Malware an, die sich als legitime Browser-, Flash- und Microsoft Teams-Updates ausgibt.


Anzeige

Ich bin über nachfolgenden Tweet auf das Thema aufmerksam geworden. In den letzten zwei Monaten hat das Team von Menlo Labs einen Anstieg von Drive-by-Download-Angriffen beobachtet, die das "SocGholish"-Framework verwenden, um Opfer zu infizieren.

SocGholish: Angriff auf Browser, Flash und Microsoft Teams

Dieses spezielle Framework ist dafür bekannt, dass es häufig verwendet wird, um bösartige Nutzdaten zu übermitteln, indem es sich als legitimes Software-Update tarnt. Der Blog-Beitrag der Sicherheitsforscher von Menlo Labs lässt sich hier abrufen.

Ein paar Details

Die Malware wird durch Drive-by-Downloads auf die Systeme der Opfer verteilt. Das heißt, es reicht, dass ein Benutzer eine infizierte Website besucht. Die Website löst dann einen Download der Malware ohne Zutun des Benutzers aus. Da die Malware Social-Engineering-Toolkits, die als Software-Update getarnt sind, verwendet, haben die Sicherheitsforscher das Kürzel Soc im Namen SocGholish vergeben.


Anzeige

Die Sicherheitsforscher von Menlo Labs haben bisher beobachtet, dass das "SocGholish"-Framework mehrere Social-Engineering-Themen zur Verbreitung der Malware verwendet. Diese geben sich als Browser-Updates (Chrome/Firefox), Flash Player-Updates und neuerdings auch als Microsoft Teams-Updates aus.

Die Angreifer verwenden in der Regel eine legitime Webseite in Kombination mit einer kompromittierten Website, um die Malware zu. Die Malware wird dann von der kompromittierte Website über einen IFRAME-Tag auf der legitimen Webseite bereitstellt. Dann greift ein Drive-by-Download-Mechanismus, um den Download der bösartigen ZIP-Datei auf das System des Opfers auszulösen.

Im nächsten Schritt ist die Interaktion des Benutzers erforderlich, um den Inhalt der bösartigen ZIP-Datei zu extrahieren und auszuführen. Dazu kommen Social Engineering und das Vertrauen der Opfer in die besuchte Webseite (die vermeintliche Quelle der Datei) ins Spiel. Da die Datei in einem IFRAME-Tage innerhalb einer legitimen Website gehostet wird, sollen Benutzer dazu verleitet werden, die Datei aus einer legitimen Quelle herunterzuladen und auszuführen.

Die bösartige ZIP-Datei enthält eine eingebettete JScript-Datei, die bei der Ausführung Live-Off-the-Land-Binärdateien (PowerShell/CMD usw.) verwendet, um einen bösartigen Download abzurufen, der zusätzliche Befehls- und Kontrollkommunikation zum Herunterladen der endgültigen Malware bereitstellt.

Die Details sind im Blog-Beitrag der Sicherheitsforscher von Menlo Labs nachzulesen. In Bezug auf Flash lässt sich festhalten, dass dessen Support am Jahresende 2020 ausläuft, die letzten Updates wurden Anfang Dezember 2020 ausgerollt. Browser und Microsoft Teams sollten nur über die Update-Funktion der Browser bzw. Software erfolgen. Oder man verwendet Download-Pakete von den Webseiten der Entwickler wie Microsoft, Google, Mozilla.


Anzeige

Dieser Beitrag wurde unter Firefox, Google Chrome, Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu SocGholish: Angriff auf Browser, Flash und Microsoft Teams

  1. Stephan sagt:

    Also wer selbst auf einer Seriösen Seite Unaufgefordert irgendeine ZIP Datei Öffnet, dem ist sowieso nicht mehr zu Helfen.

    Drive-By hin oder Her.
    Ein Archiv zu Öffnen ohne irgendeinen Downloadlink Angeklickt zu haben sollte alle Alarmglocken leuten lassen.

  2. woodpeaker sagt:

    Wenn man sich die weiteren Meldungen zu Win10 unter diesem Artikel betrachtet, der muss doch zwangsläufig zu der Erkenntnis kommen, dass man einen an der Waffel haben muss um ein Update aufzuspielen.
    Das wird ja von Woche zu Woche schlimmer und da braucht es keine verseuchten Links, das machen die Hersteller schon ab Werk im Original.

    • 1ST1 sagt:

      Das Thema hat nichts mit Windows-Updates zu tun.

      • woodpeaker sagt:

        Es hat was mit Updates an sich zu tun und MS ist nur ein Beispiel, leider ein ergiebiges, aber die anderen Firmen sind auch nicht besser.

        Schaut doch nicht immer mit Scheuklappen stur auf eine Sache, sondern seht mal den Gesamtzusammenhang.

        Und dann die nette Verniedlichung mit dem Wort App.
        Früher haben wir dazu Sharewaretools gesagt und einen gehörigen Respekt davor gehabt, da das Thema Virenscanner eigentlich bei keinem richtig auf dem Radar war, geschweige denn die Dinger mal richtig funktionierten.
        War mehr unter Schlangenöl einzuordnen.

        • HV sagt:

          Früher war früher… Jetzt ist es anders als früher, wer die Augen nicht aufmacht und vorher nicht nachdenkt bei dem was er tut, der muss die Konsequenzen tragen. Wie wir alle wissen, gilt das für so ziemlich alles im Leben. Wer die Augen und Gehirn davor versperrt, sollte seine Nachrichten in Zukunft trommeln oder Rauchzeichen senden, dafür hat man "früher" keine IT benötigt…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.