![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Online Meeting-Dienste wie Skype, Zoom oder Google Meet sind ja breit im Einsatz. Das zieht auch Cyberkriminelle an, die gef\u00e4lschte Online Meeting-Seiten unter dem Namen obiger Anbieter zur Verbreitung verschiedene Malware-Familien verwenden. Sicherheitsforscher von ZScaler warnen konkret, dass sie auf gef\u00e4lschte Skype-, Zoom- und Google Meet-Websites gesto\u00dfen sind, die zur Verbreitung von Remote Access Trojanern eingesetzt wurden.<\/p>\n
<\/p>\n
Das ThreatLabZ-Team von Zscaler warnt vor diesen gef\u00e4lschten Online Meeting-Seiten, \u00fcber die verschiedene Malware-Familien verbreitet werden. Anfang Dezember 2023 entdeckten die Forscher einen Bedrohungsakteur, der gef\u00e4lschte Skype-, Google Meet- und Zoom-Webseiten zur Verbreitung von Malware erstellt, um dar\u00fcber Remote Access Trojaner wie SpyNote RAT an Android-User und NjRAT und DCRat an Windows-User zu verbreiten.<\/p>\n
Der Malware-Akteur setzte daf\u00fcr auf shared Webhosting und hostet alle gef\u00e4lschten Webseiten f\u00fcr Online-Meetings auf einer einzigen IP-Adresse. Dabei waren die URLs der gef\u00e4lschten Websites den echten sehr \u00e4hnlich, so dass die F\u00e4lschung durch einen fl\u00fcchtigen Blick nicht zu erkennen ist. Wenn ein User eine der gef\u00e4lschten Websites besucht, wird durch Klicken auf die Android-Schaltfl\u00e4che der Download einer b\u00f6sartigen APK-Datei gestartet. Das Klicken auf die entsprechende Windows-Schaltfl\u00e4che l\u00f6st dagegen den Download einer BAT-Datei aus. Die BAT-Datei sorgt bei ihrer Ausf\u00fchrung f\u00fcr zus\u00e4tzliche Aktionen, die letztendlich zum Download einer RAT-Payload f\u00fchren.<\/p>\n
Das folgende Diagramm veranschaulicht die Angriffskette und zeigt, wie die Malware w\u00e4hrend der Kampagne auf dem Computer des Opfers verteilt und ausgef\u00fchrt wird:<\/p>\n
![\"Angriffskette\"](\"https:\/\/i.postimg.cc\/zG3Yg53M\/image007.png\" "\\"Angriffskette\\"")
<\/p>\n
Abbildung 1: Angriffskette und Ablauf der Ausf\u00fchrung f\u00fcr Android- und Windows-Kampagnen. (Quelle: ThreatLabz von Zscaler 2024)<\/p>\n
Bei ihren Untersuchungen haben die Sicherheitsforscher entdeckt, dass die erste gef\u00e4lschte Website \"join-skype[.]info\" Anfang Dezember 2023 erstellt wurde, um User zum Herunterladen einer gef\u00e4lschten Skype-Anwendung zu verleiten.<\/p>\n
![\"Fake](\"https:\/\/i.postimg.cc\/zvgZckYr\/image008.png\" "\\"Fake")
<\/p>\n
Abbildung 2: Betr\u00fcgerische Skype-Website mit einer gef\u00e4lschten Domain, die der legitimen Skype-Domain \u00e4hneln soll (Bild zur Verf\u00fcgung gestellt von urlscan.io<\/a>).<\/p>\n Die Windows-Schaltfl\u00e4che verwies auf eine Datei mit der Bezeichnung \"Skype8.exe\" und die Google Play-Schaltfl\u00e4che auf \"Skype.apk\". Die Apple App Store-Schaltfl\u00e4che leitete zu dieser Webseite<\/a> weiter, was darauf hindeutet, dass der Bedrohungsakteur mit seiner Malware nicht auf iOS-User abzielte.<\/p>\n Ende Dezember erstellte der Angreifer eine weitere gef\u00e4lschte Website \"online-cloudmeeting[.]pro\", die Google Meet imitierte. Die gef\u00e4lschte Google Meet-Seite wurde unter \"online-cloudmeeting[.]pro\/gry-ucdu-fhc\/\" gehostet, wobei der Unterpfad \"gry-ucdu-fhc\" absichtlich so erstellt wurde, dass er einem Google Meet-Beitrittslink \u00e4hnelt.<\/p>\n Die gef\u00e4lschte Google Meet-Seite zeigt die betr\u00fcgerische Domain in der Adressleiste f\u00fcr eine gef\u00e4lschte Google Meet-Windows-Anwendung mit einem Link zu einer b\u00f6sartigen BAT-Datei, die Malware herunterl\u00e4dt und ausf\u00fchrt.<\/p>\n Ende Januar 2024 deckten die Forscher zudem die gef\u00e4lschte Zoom-Seite \"us06webzoomus[.]pro\" auf. Diese wird unter der URL \"us06webzoomus[.]pro\/l\/62202342233720Yzhkb3dHQXczZG1XS1Z3Sk9kenpkZz09\/\" gehostet und enth\u00e4lt einen Unterpfad, der einer vom Zoom-Client generierten Meeting-ID sehr \u00e4hnlich ist.<\/p>\n Die gef\u00e4lschte Zoom-Seite zeigt in der Adressleiste eine Domain an, die der echten Zoom-Domain \u00e4hnelt und stellt einen Link zur b\u00f6sartigen APK-Datei bereit, die SpyNote RAT enth\u00e4lt, wenn auf die Google Play-Schaltfl\u00e4che geklickt wird.<\/p>\n Die Bedrohungsakteure zielen mit dieser Kampagne auf Unternehmen und verwenden bekannte und beliebte Online Meeting-Dienste als K\u00f6der, um RATs f\u00fcr Android und Windows zu verbreiten. Diese Remote Access Trojaner sind in der Lage, vertrauliche Informationen zu stehlen, Tastenanschl\u00e4ge zu protokollieren oder Dateien abzuziehen. Diese Ergebnisse unterstreichen die Notwendigkeit robuster Sicherheitsma\u00dfnahmen zum Schutz vor sich weiterentwickelnden Bedrohungen sowie die Bedeutung regelm\u00e4\u00dfiger Updates und Sicherheits-Patches.<\/p>\n Die Zscaler Cloud Sandbox erkennt die Samples durch ihr Verhalten und verweisen auf spezifische MITRE ATT&ACK-Techniken die w\u00e4hrend der Analyse getriggert werden. Die vollst\u00e4ndige Analyse ist im Blog nachzulesen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Online Meeting-Dienste wie Skype, Zoom oder Google Meet sind ja breit im Einsatz. Das zieht auch Cyberkriminelle an, die gef\u00e4lschte Online Meeting-Seiten unter dem Namen obiger Anbieter zur Verbreitung verschiedene Malware-Familien verwenden. Sicherheitsforscher von ZScaler warnen konkret, dass sie auf … Weiterlesen Beispiel Google Meet<\/h2>\n
Beispiel Zoom<\/h2>\n