{"id":308297,"date":"2025-02-06T12:26:19","date_gmt":"2025-02-06T11:26:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=308297"},"modified":"2025-02-06T12:26:19","modified_gmt":"2025-02-06T11:26:19","slug":"malvertising-cyberkriminelle-klonen-website-der-tu-dresden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/02\/06\/malvertising-cyberkriminelle-klonen-website-der-tu-dresden\/","title":{"rendered":"Malvertising: Cyberkriminelle klonen Website der TU Dresden"},"content":{"rendered":"

\"SicherheitDas Threat-Intelligence-Team von Malwarebytes hat eine Malvertising-Kampagne f\u00fcr den VPN-Client Cisco AnyConnect entdeckt. Opfer werden auf vertrauensw\u00fcrdige Seiten geleitet, fangen sich dort aber einen Remote-Access-Trojaner ein. Auch die Webseite der TU Dresden wurde wohl von den Cyberkriminellen geclont.<\/p>\n

<\/p>\n

Keyword cisco annyconnect<\/h2>\n

Die Kampagne wurde, laut Malwarebytes, f\u00fcr das Keyword \"cisco annyconnect\" in der Google-Suche eingestellt. Opfer wurden dann in Suchtreffern auf die vertrauensw\u00fcrdig klingende Domain annyconnect-secure-client[.]com geleitet. Die Downloaddatei des vermeintlichen VPN-Clients auf der Fake-Seite enth\u00e4lt jedoch den NetSupport RAT (Remote Access Trojan).<\/p>\n

Clone der Webseite der TU Dresden<\/h2>\n

Opfer, die dem Link der b\u00f6sartigen Google-Anzeige in den Suchtreffern durch anklicken folgen, werden dann umgeleitet. Die Server der Malvertising-Kampagne entscheiden anhand der IP-Adresse und der Netzwerkeinstellungen, ob es sich um ein potenzielles Opfer oder beispielsweise einen Crawler handelt.<\/p>\n

W\u00e4hrend potenzielle Opfer die Fake-Seite von Cisco mit dem Downloadlink zu sehen bekommen, wird allen anderen eine sogenannte \"white page\" ausgespielt. Im Fall dieser Kampagne handelt es sich dabei um einen Klon einer Webseite der Technischen Universit\u00e4t Dresden. Diese soll von den kriminellen Absichten der Hinterm\u00e4nner der Kampagne ablenken.<\/p>\n

\"Fake<\/p>\n

Malwarebytes hat die Details dieser Kampagne im Beitrag\u00a0University site cloned to evade ad detection distributes fake Cisco installer<\/a> ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

Das Threat-Intelligence-Team von Malwarebytes hat eine Malvertising-Kampagne f\u00fcr den VPN-Client Cisco AnyConnect entdeckt. Opfer werden auf vertrauensw\u00fcrdige Seiten geleitet, fangen sich dort aber einen Remote-Access-Trojaner ein. Auch die Webseite der TU Dresden wurde wohl von den Cyberkriminellen geclont.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-308297","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308297","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=308297"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308297\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=308297"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=308297"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=308297"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}