![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsforscher von Menlo Labs haben eine zunehmende Kampagne entdeckt, bei der Browser, Flash und Microsoft Teams \u00fcber eine Drive-by-Infektion kompromittiert werden. Die Cyber-Angreifer bietet Malware an, die sich als legitime Browser-, Flash- und Microsoft Teams-Updates ausgibt.<\/p>\n
<\/p>\n
Dieses spezielle Framework ist daf\u00fcr bekannt, dass es h\u00e4ufig verwendet wird, um b\u00f6sartige Nutzdaten zu \u00fcbermitteln, indem es sich als legitimes Software-Update tarnt. Der Blog-Beitrag der Sicherheitsforscher von Menlo Labs l\u00e4sst sich hier abrufen<\/a>. <\/p>\n Die Malware wird durch Drive-by-Downloads auf die Systeme der Opfer verteilt. Das hei\u00dft, es reicht, dass ein Benutzer eine infizierte Website besucht. Die Website l\u00f6st dann einen Download der Malware ohne Zutun des Benutzers aus. Da die Malware Social-Engineering-Toolkits, die als Software-Update getarnt sind, verwendet, haben die Sicherheitsforscher das K\u00fcrzel Soc im Namen SocGholish vergeben. <\/p>\n Die Sicherheitsforscher von Menlo Labs haben bisher beobachtet, dass das \"SocGholish\"-Framework mehrere Social-Engineering-Themen zur Verbreitung der Malware verwendet. Diese geben sich als Browser-Updates (Chrome\/Firefox), Flash Player-Updates und neuerdings auch als Microsoft Teams-Updates aus.<\/p>\n Die Angreifer verwenden in der Regel eine legitime Webseite in Kombination mit einer kompromittierten Website, um die Malware zu. Die Malware wird dann von der kompromittierte Website \u00fcber einen IFRAME-Tag auf der legitimen Webseite bereitstellt. Dann greift ein Drive-by-Download-Mechanismus, um den Download der b\u00f6sartigen ZIP-Datei auf das System des Opfers auszul\u00f6sen. <\/p>\n Im n\u00e4chsten Schritt ist die Interaktion des Benutzers erforderlich, um den Inhalt der b\u00f6sartigen ZIP-Datei zu extrahieren und auszuf\u00fchren. Dazu kommen Social Engineering und das Vertrauen der Opfer in die besuchte Webseite (die vermeintliche Quelle der Datei) ins Spiel. Da die Datei in einem IFRAME-Tage innerhalb einer legitimen Website gehostet wird, sollen Benutzer dazu verleitet werden, die Datei aus einer legitimen Quelle herunterzuladen und auszuf\u00fchren.<\/p>\n Die b\u00f6sartige ZIP-Datei enth\u00e4lt eine eingebettete JScript-Datei, die bei der Ausf\u00fchrung Live-Off-the-Land-Bin\u00e4rdateien (PowerShell\/CMD usw.) verwendet, um einen b\u00f6sartigen Download abzurufen, der zus\u00e4tzliche Befehls- und Kontrollkommunikation zum Herunterladen der endg\u00fcltigen Malware bereitstellt.<\/p>\nIch bin \u00fcber nachfolgenden Tweet<\/a> auf das Thema aufmerksam geworden. In den letzten zwei Monaten hat das Team von Menlo Labs einen Anstieg von Drive-by-Download-Angriffen beobachtet, die das \"SocGholish\"-Framework verwenden, um Opfer zu infizieren. <\/p>\n
![\"SocGholish:](\"https:\/\/i.imgur.com\/XvwQ3ng.png\"\/ "\\"SocGholish:")
<\/a><\/p>\nEin paar Details<\/h2>\n