Angreifer nehmen Kommunikations-Apps wie Zoom, Slack oder Discord ins Visier

von Trend Micro

In dem Halbjahresbericht zur Sicherheit 2020 zeigt Trend Micro auf, wie während der Corona-Pandemie viele Unternehmen von physischen Büros auf virtuelle umgestiegen sind. Das wiederum führte zu einem Boom für Messaging- und Videokonferenzanwendungen als Kommunikationsmittel, allen voran Zoom, aber auch Slack oder Discord. Und wie nicht anders zu erwarten, gerieten die Anwendungen auch ins Visier der Cyberkriminellen.

In erster Linie hat Zoom alle Rekorde gebrochen und wird in Schulen, Unternehmen und von Einzelpersonen eingesetzt. Daher ist das Conferencing-System auch das interessanteste Ziel für die Kriminellen.

Die wohl bekannteste böswillige Aktivität im Zusammenhang mit Zoom ist das so genannte „Zoom-Bombing“, bei dem Witzbolde eine Besprechung zum Scheitern bringen und dann Störaktionen durchführen, wie z.B. das Versenden von Spam mit pornografischen Inhalten oder auch nur allgemeine Belästigung. Zoom-Bombing ist zwar ärgerlich, aber sicherheitstechnisch in der Regel harmlos. Andererseits gibt es Zoom-bezogene Angriffe mit echter Malware, die viel mehr Schaden anrichten kann. Die häufigste diesbezügliche Angriffstechnik besteht in der Verwendung von Zoom-Installationsprogrammen, die mit Malware gebündelt sind.

Manchmal setzen die Angreifer auf gefälschte Zoom-Installer, um Benutzer dazu zu verleiten, sie auf ihren Rechnern zu installieren. Die Sicherheitsforscher stießen etwa im Mai auf einen solchen Fall, nachdem sie Samples von Malware-Dateien gefunden hatten, die als gefälschte Zoom-Installer getarnt waren. Für den Durchschnittsanwender dürfte es schwierig sein, die legitime Zoom-Anwendung von den gefälschten zu unterscheiden. Eine genauere Prüfung ergibt, dass bösartige Versionen deutlich größere Dateien aufweisen.

Bild 1. Vergleich der Dateigröße von bösartigen Zoom-Kopien mit dem legitimen Installer

Eines der Malware-Samples (Trojan.Win32.ZAPIZ.A) ist eine Hintertür mit Funktionen für den Fernzugriff, sodass ein Angreifer Zugriff auf den infizierten Computer erlangen kann, um böswillige Aktionen durchzuführen, wie z. B. Stehlen von Informationen. Das andere Sample (Backdoor.Win32.DEVILSHADOW.THEAABO) verfügt über einen Installer, der aus einer Datei mit bösartigen Befehlen besteht. Interessanterweise haben beide kompromittierten Installer eine legitime Version von Zoom installiert, wahrscheinlich um Hinweise auf böswillige Aktivitäten vor dem Benutzer zu verbergen.

Des Weiteren gibt es böswillige Akteure, die legitime Installer mit Malware-Dateien gebündelt hatten. So entdecken die Forscher im April einen Angriff, bei dem echte Zoom-Installer zum Einsatz kamen, die mit dem RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO) bereitgestellt wurden. Diese Malware-Variante erlaubt es ihrem Betreiber, Remote-Befehle auszuführen, z.B. Dateien hinzuzufügen oder zu löschen, Tasteneingaben aufzuzeichnen und Informationen zu sammeln. Die gleiche Masche gibt es auch mit der ZAPIZ Malware (Trojan.Win32. ZAPIZ.A), die nach dem Herunterladen alle Remote Utilities löscht und Informationen stehlen kann, möglicherweise als Vorbereitung für weitere Angriffe.

Es fand sich auch ein E-Mail-Sample, wobei ein böswilliger Akteur versuchte, Geld von dem Opfer zu erpressen, indem er ihm mit der Veröffentlichung von belastendem Videomaterial drohte, das angeblich über eine gehackte Kamera erworben wurde.

Missbrauch von Discord und Slack

Doch gibt es auch Beweise für Angriffe auf andere Kommunikationsdienste wie Slack und Discord. Slack hat mittlerweile (seit 2019) mehr als zehn Millionen aktive Nutzer täglich. Kürzlich fanden die Sicherheitsforscher eine Ransomware-Variante (Ransom.Win32.CRYPREN.C), die auf den ersten Blick ziemlich gewöhnlich scheint. Sie verschlüsselt Dateien und versieht sie danach mit einer .encrypted-Extension.

Bild 2. Die Lösegeldforderung der Crypren Ransomware

Interessant ist, dass Crypren Slack Webhooks nutzt, um den Verschlüsselungsstatus der Opfer an den Command-and-Control (C&C)-Server zu melden— eine bis dato noch nie angetroffene Technik.

Derzeit schickt die Ransomware nur eine minimale Datenmenge zurück, nämlich Computer- und Benutzernamen, die Anzahl der infizierten Dateien und den Infektionszeitstempel – was darauf hindeutet, dass sich die Verwendung von Slack für die Meldung des Infektionsstatus möglicherweise noch in der Testphase befindet.

Discord ist eine weitere Kommunikationssoftware, die ähnliche Eigenschaften wie Slack besitzt (und in Gaming-Communities weit verbreitet ist). Die Sicherheitsforscher stießen auf Samples, die zeigen, wie böswillige Akteure Discord als Teil einer Kampagne mit bösartigen Spam-Mails verwenden, die schließlich mit einer AveMaria- oder AgentTesla-Malware-Infektion enden. Die E-Mails enthalten entweder Lieferankündigungen oder Rechnungen in einem DHL- oder TNT-Anhang.

Bild 3. Beispiel einer Spam Mail

Die E-Mails beinhalten eingebettete Links, sei es in den Bildern oder im Text, die auf eine Discord URL zeigen (hxxps://cdn[.]discordapp[.]com/attachments/{ChannelID}/{AttachmentID}/example[.]exe). Diese URLs werden zum Hosten von AveMaria und AgentTesla genutzt, die dann die Systeme der Nutzer infizieren, wenn diese auf die Executables klicken.

Die Verwendung legitimer Anwendungen wie Slack and Discord als Teil eines Angriffs haben einfache Gründe: Sie sind bekannt, weit verbreitet, kostenlos und bieten eine gewisse Form der Anonymität. Darüber hinaus müssen die Benutzer die Anwendungen nicht einmal installiert haben, um Dateien von ihnen herunterzuladen, was den Prozess rationalisiert und effizient macht. Ein weiterer möglicher Grund ist, dass sie als normale legitime Netzwerkkommunikation ausgegeben werden können. Ihre Beliebtheit bei Angreifern liegt zudem auch daran, dass die Wahrscheinlichkeit, dass Mitarbeiter und Endbenutzer diese Dienste nutzen, sehr hoch ist.

Schutz vor den Angriffen gegen die Kommunikations-Apps

Glücklicherweise ist die Verteidigung gegen diese Art von Angriffen relativ unkompliziert. Im Falle der Zoom-Installer besteht die Gemeinsamkeit zwischen den Angriffen darin, dass sie von anderen Orten als der offiziellen Zoom-Download-Seite heruntergeladen werden. Die einfachste Möglichkeit eine Infektion zu vermeiden besteht darin, Kommunikationsanwendungen (und alle Anwendungen im Allgemeinen) nur über offizielle Kanäle herunterzuladen. Dadurch wird sichergestellt, dass die Software frei von Manipulationen ist.

Benutzer sollten es auch vermeiden, auf Links zu klicken oder Anhänge von verdächtigen oder ungeprüften E-Mails herunterzuladen. Wenn Nutzer sich nicht sicher sind, wäre es eine gute Idee, sich bei dem angeblichen Absender zu vergewissern, ob er derjenige ist, der die E-Mail verschickt hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.