heise PlusAbo
Anzeige

Malvertising: BlackCat-Ransomware versteckt sich hinter Fake-WinSCP-Tool

Die Hintermänner des Verschlüsselungstrojaners BlackCat (aka ALPHV) setzen auf einen weiteren Verbreitungsweg.

vorlesen Druckansicht 36 Kommentare lesen

(Bild: Foxeel,Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
Inhaltsverzeichnis

Wer über eine Internetsuche Tools zum Download sucht, sollte stets aufpassen: Regelmäßig platzieren Kriminelle in Suchergebnissen Anzeigen, um via Malvertising Fake-Tools mit einem Trojaner im Gepäck zu verbreiten. Das ist nun auch bei BlackCat (aka ALPHV) für Windows der Fall.

Obacht bei der Internetsuche

Davon berichten jetzt Sicherheitsforscher von Trend Micro. Dabei sind sie auf via Bing und Google auf Malvertising-Anzeigen zum Open-Source-FTP-Client WinSCP gestoĂźen. Klickt ein Opfer in einem Beispiel auf ein Suchergebnis in Bing, landet er auf einer Website mit einem Tutorial fĂĽr WinSCP. Der Verweis auf der Website zum Download des Tools fĂĽhrt aber nicht auf die legitime Seite winscp.net, sondern winsccp.com. Oft nutzen Kriminelle URLs, deren Vertipper im Vergleich zur Original-Website im besten Fall nicht auf den ersten Blick auffallen.

Fällt ein Opfer darauf rein und klickt auf Download, landet eine ISO-Datei auf dem PC. Darin befindet sich eine Setup- und eine DLL-Datei. Führt das Opfer die Setup-Datei aus, wird auch WinSCP installiert, nur im Hintergrund gelangt noch weiter Code auf den Computer.

Videos by heise

Weitreichender Zugriff

Darüber haben die Betrüger Zugriff auf den PC und können mit ihren Command-and-Control-Servern kommunizieren und Malware installieren. So lesen sie etwa mit dem Tool AdFind Informationen von Active-Directory-Umgebungen aus. Mit den Informationen können Angreifer im schlimmsten Fall weitreichend auf das AD zugreifen, führen die Sicherheitsforscher aus.

Über AnyDesk richten sie sich dann Fernzugriff ein und ein Computer gilt als vollständig kompromittiert. Natürlich laden die Kriminellen darüber auch ihre Ransomware BlackCat auf PCs.

Um Malvertising-Attacken zu vermeiden, mĂĽssen Mitarbeiter unter anderem auf Phishing geschult werden. AuĂźerdem sollten Downloads aus vertrauenswĂĽrdigen Portalen wie heise Download stammen.

Malvertising-Tsunami

Erst im April verbreiteten Cybergangster die Bumblebee-Malware über Malvertising. Bereits seit Anfang 2023 sprechen Sicherheitsforscher von einem „Malvertising-Tsunami“.

(des)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten