Online Meeting-Dienste wie Skype, Zoom oder Google Meet sind ja breit im Einsatz. Das zieht auch Cyberkriminelle an, die gefälschte Online Meeting-Seiten unter dem Namen obiger Anbieter zur Verbreitung verschiedene Malware-Familien verwenden. Sicherheitsforscher von ZScaler warnen konkret, dass sie auf gefälschte Skype-, Zoom- und Google Meet-Websites gestoßen sind, die zur Verbreitung von Remote Access Trojanern eingesetzt wurden.
Anzeige
Das ThreatLabZ-Team von Zscaler warnt vor diesen gefälschten Online Meeting-Seiten, über die verschiedene Malware-Familien verbreitet werden. Anfang Dezember 2023 entdeckten die Forscher einen Bedrohungsakteur, der gefälschte Skype-, Google Meet- und Zoom-Webseiten zur Verbreitung von Malware erstellt, um darüber Remote Access Trojaner wie SpyNote RAT an Android-User und NjRAT und DCRat an Windows-User zu verbreiten.
Der Malware-Akteur setzte dafür auf shared Webhosting und hostet alle gefälschten Webseiten für Online-Meetings auf einer einzigen IP-Adresse. Dabei waren die URLs der gefälschten Websites den echten sehr ähnlich, so dass die Fälschung durch einen flüchtigen Blick nicht zu erkennen ist. Wenn ein User eine der gefälschten Websites besucht, wird durch Klicken auf die Android-Schaltfläche der Download einer bösartigen APK-Datei gestartet. Das Klicken auf die entsprechende Windows-Schaltfläche löst dagegen den Download einer BAT-Datei aus. Die BAT-Datei sorgt bei ihrer Ausführung für zusätzliche Aktionen, die letztendlich zum Download einer RAT-Payload führen.
Das folgende Diagramm veranschaulicht die Angriffskette und zeigt, wie die Malware während der Kampagne auf dem Computer des Opfers verteilt und ausgeführt wird:
Anzeige
Abbildung 1: Angriffskette und Ablauf der Ausführung für Android- und Windows-Kampagnen. (Quelle: ThreatLabz von Zscaler 2024)
Beispiel Skype
Bei ihren Untersuchungen haben die Sicherheitsforscher entdeckt, dass die erste gefälschte Website "join-skype[.]info" Anfang Dezember 2023 erstellt wurde, um User zum Herunterladen einer gefälschten Skype-Anwendung zu verleiten.
Abbildung 2: Betrügerische Skype-Website mit einer gefälschten Domain, die der legitimen Skype-Domain ähneln soll (Bild zur Verfügung gestellt von urlscan.io).
Die Windows-Schaltfläche verwies auf eine Datei mit der Bezeichnung "Skype8.exe" und die Google Play-Schaltfläche auf "Skype.apk". Die Apple App Store-Schaltfläche leitete zu dieser Webseite weiter, was darauf hindeutet, dass der Bedrohungsakteur mit seiner Malware nicht auf iOS-User abzielte.
Beispiel Google Meet
Ende Dezember erstellte der Angreifer eine weitere gefälschte Website "online-cloudmeeting[.]pro", die Google Meet imitierte. Die gefälschte Google Meet-Seite wurde unter "online-cloudmeeting[.]pro/gry-ucdu-fhc/" gehostet, wobei der Unterpfad "gry-ucdu-fhc" absichtlich so erstellt wurde, dass er einem Google Meet-Beitrittslink ähnelt.
Die gefälschte Google Meet-Seite zeigt die betrügerische Domain in der Adressleiste für eine gefälschte Google Meet-Windows-Anwendung mit einem Link zu einer bösartigen BAT-Datei, die Malware herunterlädt und ausführt.
Beispiel Zoom
Ende Januar 2024 deckten die Forscher zudem die gefälschte Zoom-Seite "us06webzoomus[.]pro" auf. Diese wird unter der URL "us06webzoomus[.]pro/l/62202342233720Yzhkb3dHQXczZG1XS1Z3Sk9kenpkZz09/" gehostet und enthält einen Unterpfad, der einer vom Zoom-Client generierten Meeting-ID sehr ähnlich ist.
Die gefälschte Zoom-Seite zeigt in der Adressleiste eine Domain an, die der echten Zoom-Domain ähnelt und stellt einen Link zur bösartigen APK-Datei bereit, die SpyNote RAT enthält, wenn auf die Google Play-Schaltfläche geklickt wird.
Die Bedrohungsakteure zielen mit dieser Kampagne auf Unternehmen und verwenden bekannte und beliebte Online Meeting-Dienste als Köder, um RATs für Android und Windows zu verbreiten. Diese Remote Access Trojaner sind in der Lage, vertrauliche Informationen zu stehlen, Tastenanschläge zu protokollieren oder Dateien abzuziehen. Diese Ergebnisse unterstreichen die Notwendigkeit robuster Sicherheitsmaßnahmen zum Schutz vor sich weiterentwickelnden Bedrohungen sowie die Bedeutung regelmäßiger Updates und Sicherheits-Patches.
Die Zscaler Cloud Sandbox erkennt die Samples durch ihr Verhalten und verweisen auf spezifische MITRE ATT&ACK-Techniken die während der Analyse getriggert werden. Die vollständige Analyse ist im Blog nachzulesen.
Anzeige
Steh da auf dem Schlauch… Software Apps etc. lädt man nicht von dubiosen Seiten, sondern immer von der Original Seite… wie landet man da also auf der Fake Seite?
Man wird ja kaum so dumm sein nach Skype auf google zu suchen und den erstbesten Treffer zu nehmen ;-p
Du kriegst eine Mail mit einen Link, wenn du drauf drückst landest du auf der gefälschten Seite.
Oder man schickt dir irgendwo private Nachrichten. Oder übernimmt Instagram Profile und verspricht dort direkten Kontakt mit F-Promi XY.
"Man wird ja kaum so dumm sein nach Skype auf google zu suchen"
Genau das machen viele User. Derzeit (noch) antrainierter Reflex: einfach etwas in Google eingeben und man findet sein Ziel.
Du solltest mal öfters andere beim Surfen beobachten. Ich staune immer wieder, wie (aus der Sicht eines Erfahrenen) Menschen bei der Suche vorgehen. Das fängt bei der Formulierung der Suche an und hört bei den geklickten Ergebnissen noch nicht auf.
Das wird sicherlich nicht besser, wenn der Google Reflex durch den ChatBot Reflex abgelöst wird…
Woher weiß man denn wie die Webseite genau heißt? Die kennt doch keiner. Ist es (dot)com oder (dot)de oder vielleicht doch (dot)net oder irgendweas? Es gibt ja auch kein Telefonbuch dafür. Also soll man nicht alle Leute, die googeln, für blöd erklären!
da guckst du wiki oder heise oder computerbase, seriöse Seiten, da ist beim Download auch immer die echte Website genannt. Bingo!
Außerdem checkt man bei unbekannten nochmals mit virustotal etc. ab.
Selbst ComputerBLÖD gibt bei Downloads auch die Website an.
Da trennt sich halt die Spreu vom Weizen wie der Bauer so schön sagt ;-P
Und gerade die hier genannten: Skype; Google, sollte die Hauptseite also durchaus bekannt sein!
"Diese Ergebnisse unterstreichen die Notwendigkeit robuster Sicherheitsmaßnahmen zum Schutz vor sich weiterentwickelnden Bedrohungen sowie die Bedeutung regelmäßiger Updates und Sicherheits-Patches."
Wenn, dann unterstreicht so etwas primär die Notwendigkeit für grundlegende IT-Kenntnisse bei den Nutzern. Ohne geht es nicht.
Keine Software, kein Update oder Sicherheitspatch hindert den User daran auf Links zu klicken, Software zu installieren, irgendwelchen Anweisungen in Mails / auf Webseiten zu folgen oder seine Daten irgendwo einzugeben. Mitdenken ist angesagt und wird es immer bleiben.
Natürlich darf auch die IT-Industrie Produkte von Grund auf sicher(er) gestalten, aber dafür muss erst einmal viel Blödsinn der letzten 20+ Jahr behoben werden. Sei es weil man den Leuten unsicheres Verhalten antrainiert hat oder banalste Dinge (etwa das Ziel eines Links) immer mehr versteckt. Z.T. sind das ja nur noch QR Codes, die automatisch geöffnet werden.
"Wenn, dann unterstreicht so etwas primär die Notwendigkeit für grundlegende IT-Kenntnisse bei den Nutzern. Ohne geht es nicht."
Das läuft im Prinzip darauf hinaus, das man das Internet nicht ohne Internet -"Führerschein" nutzen sollte. So wie man ja auch 'n Führerschein zum Autofahren zwingend braucht.
Es ist unrealistisch das so etwas Umsetzbar wäre, außer im Sinne, das an den Schulen endlich diese "grundlegenden" Kenntnisse vermittelt werden. Dennoch werden auch nachfolgende Generationen immer wieder auf Angreifer hereinfallen, weil so etwas wie "gesunder Menschenverstand" nicht per Verordnung oder Schulunterricht in die Köpfe kommt. Wenn man sich das gesamte Land und System so anschaut, ist doch erkennbar, das es auch gar nicht gewollt ist, das Menschen generell "selber denken" und halt "schlau" sind … wie sollte sonst noch der ganze Werbedreck und politische Manipulation durch sog. Parteien funktionieren?
Außerdem wollen die meisten einfach nur ihr Leben leben und möglichst viel Spaß, ohne groß denken zu müssen. Daneben gibt es noch die, die in ihrem Lebensalltag (Arbeit, Partner, Kinder, Eltern, Pflege, Haushalt, Steuererklärung und und und und …) derart überlastet sind, das sie nicht die Zeit und den Nerv haben über jeden Klick im Netz erst einmal dezidiert Nachzudenken. Genau das wird halt alles von verschiedenen Seiten, inklusive der Cyber-Kriminellen Ausgenutzt.
Die Verantwortlichen werden das wohl so ähnlich abwägen wie Banken für ihre unsicheren Banking-Apps, PINs, Kreditkarten usw. abwägen was effizienter ist, einfach mit dem Schaden leben (und selbst den oft noch auf Kunden abwälzen) oder sehr teuer in bessere Technik Investieren. Sieht man ja auch was die Geldautomaten betrifft. Es gäbe abschreckende Technik, die solchen Raub per Sprengung verhindern kann, wird aber nicht gemacht, ist eben billiger wenn einfach die Versicherung den riesen Schaden am Gebäude usw. zahlt … keine Ahnung warum die Versicherungen eigentlich so blöde sind, die versichern ja sonst auch nur Risiken, die überwiegend wahrscheinlich NICHT Eintreten werden. Das kann man bei Geldautomaten inzwischen nicht mehr so ohne weiteres sagen. Vermutlich sind die Versicherungen letztlich im Besitz von Banken und wälzen die Verluste aus dem einen Bereich wiederum auf die Kundschaft in anderen Bereichen ab …. wir Endverbraucher merken es ja nicht … und wollen überwiegend sowieso nicht selber denken, sondern einfach unserer Ruhe haben um unser "schönes" Leben zu leben …
in diesem Sinne, allen Schlafmützen ein schönes Leben ;-)
>> … das es auch gar nicht gewollt ist, das Menschen generell "selber denken" …
Ich kanns bald nicht mehr hören: Die da oben wollen dass wir alle blöd sind. Deshalb lassen sie auch von Flugzeugen irgendein Zeug regnen, damit wir noch blöder werden.
Na egal, bei einigen scheint es ja schon zu wirken ;-(
Und aus TV & weiteren Medien regnet es auch fleissig…
"Keine Software, kein Update oder Sicherheitspatch hindert den User daran auf Links zu klicken, Software zu installieren…"
Doch. Administrative Gegenmaßnahmen exisitieren. Eben diese technischen Schutzvorkehrungen sollten eingerichtet sein und verhindern die Ausführbarkeit von Skripdateien. Andernfalls handeln die Admins entweder grob fahrlässig oder sie sind inkompetent.
"…irgendwelchen Anweisungen in Mails / auf Webseiten zu folgen oder seine Daten irgendwo einzugeben."
Auch hier können ausgespähte Zugangspasswörter nicht zu Schaden führen, sind technische Schutzmaßnahmen vor unberechtigten Zugriffen eingerichtet.
In jedem Fall gilt: Schwachpunkte sind nicht die User – Schwachpunkte sind überforderte Admins. Wo bist du Admin?
*****************************************
Das läuft im Prinzip darauf hinaus, das man das Internet nicht ohne Internet -"Führerschein" nutzen sollte. So wie man ja auch 'n Führerschein zum Autofahren zwingend braucht.
*****************************************
Nicht unbedingt: einfach die Leute vollumfänglich auf dem Schaden sitzen und selbst ausbaden lassen… nix ist lehrreicher als finanzieller Schaden! Lernen durch Schmerz!
Sorry aber wer nicht mal das "Kleine Ein mal Eins" des Internets beachtet, für den hab ich kein Mitleid mehr übrig.
> vollumfänglich auf dem Schaden sitzen und selbst ausbaden lassen
Inklusive die Verwaltungen, die irgendwelche Dritte mit ihrer IT beauftragen und die dort dann verschlüsselt oder aus anderen Gründen unzugänglich wird.
Warum ist immer noch nicht angekommen, dass der Schaden nicht nur einen einzelnen betreffen muss? Wenn sich Person X Malware auf den Rechner schiebt, betrifft das nicht nur Person X selbst, sondern je nach Malware auch Person Y, Z …, über die Informationen auf dem Rechner von Person X liegen.
Oder Botnetze. Die gibt es nur deshalb, weil sich die Leute Malware auf ihre Rechner laden! Den Schmerz haben dann andere, da ist nix mit "lehrreich".
ich sagte "vollumfänglich" ;-P d.h. im Allgemeinen auch Folgeschäden ( eben auch Schäden die Dritten ensteht)
Zusammen mit Produkthaftung für Software…
da hättest du sehr schnell sichere Systeme!
Dann wären die Microsafties hier aber schon allesamt in der Privatinsolvenz – was ggf sogar begrüßenswert wäre.
Du hast den Thread nichtmal verstanden. Das hat nichts mit Microsoft zu tun hat (MS-Teams ist z.B. nicht betroffen).
Hauptsache wieder mal ein unqualifizierter Beitrag von dir.
Da bellt der getroffene Hund, was? :-)
Wenn Leute aufgrund ihrer unfähig konfigurierten Exchanges, ADs, Officemakroei stellungen etc mal richtig zahlen müssten, wäre das durchaus begrüßenswert. Anders lernen sie es anscheinend ja nicht.
Apropos Lesen: wo stand bei Luzifers oder meinem Kommentar was von Teams? solltest du vielleicht lesen lernen, bevor du hier was schreibst? :-P
Das war ja schon fast ein konstruktiver Kommentar/Beitrag von dir. Wenn du dich daran gewöhnen würdest, anstatt irgendwelche Pinguin-Pöbelei loszuwerden, würdest du weniger Gegenwind spüren.
Du musst davon ausgehen, dass hier einige Leser keine Wahl haben, da sie nicht nur eine Handvoll Nutzer/Server betreuen, sonder Dutzende oder Hunderte, mit sauteurer Unternehmenssoftware, die eben nur auf Windows läuft. Darunter ganz prominent: DATEV. Selbst die akzeptablen Alternativen laufen nur unter Windows. Dann noch die maßgeschneiderten CRM und ERP Anwendungen…
Und was ist mit unternehmenübergreifenden Kooperationen? Jeder nutz MS-Office mit Sharepoint, Teams, Onedrive und gemeinsame Kalender.
Und wer macht die Einweisung/Support der (in meinem Fall 200) User bzgl. Bedienung von Linux? Oder besser: wer soll das bezahlen? Windows kennen sie von zuhause oder dem vorherigen Arbeitgeber.
VG Bernie
genau, immer schön faul und bequem und bloß das Althergebrachte weiternutzen, völlig egal, dass mit jeder Versionsumstellung die Dramen immer größer und der Support- und Schulungsaufwand immer höher werden. Warum dieses Geld nicht sinnvoller einsetzen und sich von dem Müll befreien?
Und das Argument "fresst mehr Sch…., Milliarden Fliegen können nicht irren", was du hier anbringst, spricht auch mal wieder für sich :-)
Zu DATEV: man muss nur wollen, dann funktioniert auch DATEV Online. schwer zu verstehen in der LockIn Blase, ich weiß… :-P
Was genau hast du an "keine Wahl" nicht verstanden?
Auch für "DATEV Unternehmen online" braucht man einen Lizenz-Dongle, der nur unter Windows funktioniert.
Mit deinen "Wenn man nur will…"-Phantasien würde jedes mittlere und größere Unternehmen pleite gehen. Schau dir nur die Gemeinden und öffentlichen Körper an, die es mit Linux versucht hatten und jetzt wieder Windows nutzen. In unserer Marktwirtschaft könnte man sich sowas gar nicht leisten.