Malvertising: Fake-Werbung auf Facebook zielt auf Bitwarden-Nutzer ab
Sicherheitsforscher haben eine Malwaretising-Kampagne beobachtet, bei der ein angebliches Sicherheitsupdate fĂĽr Bitwarden via Facebook beworben wurde.
Mit Malwaretising versuchen Cyberkriminelle immer wieder, Internetnutzern Malware unterzuschieben.
(Bild: Balefire / Shutterstock.com)
Sicherheitsforscher von Bitdefender Labs beschreiben auf ihrem Blog eine sogenannte Malwaretising-Kampagne, die offenbar vor allem auf Facebook-Business-Accounts abzielt. Opfern drohten möglicherweise finanzielle Verluste.
Cyberkriminelle haben demnach Werbeanzeigen auf der Plattform geschaltet, um Malware zu verbreiten. Der sogenannte Sponsored Post bewarb ein vermeintliches Sicherheitsupdate der Chrome-Erweiterung des Passwortmanagers Bitwarden. Die Werbung verlinkte auf eine Fake-Webseite, die dem offiziellen Google Chrome Web Store nachempfunden war.
Malware-Installation: Opfer mĂĽssen mit der Brechstange mithelfen
Mit der Installationsanleitung auf der gefälschten Webseite versuchten die Cyberkriminellen, ihre Opfer dazu zu verleiten, die Sicherheitsprüfmechanismen des Browsers zu umgehen: Nach dem Klick auf den "Add to Chrome"-Button auf der Webseite wurde das Opfer zu einem Google-Drive-Link weitergeleitet, der die Malware enthielt, verpackt in eine -zip-Datei. Als Nächstes sollten die Opfer die .zip-Datei entpacken und dann in den Chrome-Einstellungen in den Developer-Modus wechseln, um anschließend die entpackte, schädliche Erweiterung manuell zu installieren.
Einmal installiert, fragt die Malware weitreichende Berechtigungen an, die es ihr ermöglichen, die Online-Aktivitäten der Nutzer zu manipulieren: etwa Berechtigungen, um mit Webseiten zu interagieren, Netzwerkanfragen zu modifizieren sowie Zugriff auf Cookies und Storage. Das Herzstück des Angriffs ist ein Skript namens "background.js". Es extrahiert IP- und Standortdaten sowie Facebook-Cookies und Account-Daten, darunter auch Zahlungsinformationen wie Kreditkartendaten und Rechnungsadressen. Das background.js-Skript leitet diese an eine Google Apps Skript URL weiter, die den Angreifern als Command-and-Control-Server dient.
Derartige Attacken sind oft nicht ohne weiteres zu entlarven, da sie legitime Plattformen und Namen verwenden, in diesem Fall Facebook und Bitwarden. Auch bei den groĂźen Suchmaschinen Google und Bing ist Malvertising ein bekanntes Problem.
Lesen Sie auch
Malvertising-Kampagne zielt auf Systemadministratoren
Schützen könne man sich laut dem Blogpost von Bitdefender-Labs vor derartigen Angriffen, indem man Browsererweiterungen nur über den offiziellen Browser-Webstore installiert und Abstand von Links auf Drittanbieterseiten oder in Werbeanzeigen nimmt. Vor der Installation einer Erweiterung sollte man in jedem Fall deren Berechtigungen überprüfen. Die Berechtigungen declarativeNetRequest und webRequest, gepaart mit dem Zugriff auf Cookies, seien oft relativ eindeutige Hinweise auf Malware. Weitere mögliche Indicators of Compromise (IoC) benennen sie im Blogpost. Die IT-Forscher empfehlen außerdem, die Sicherheitsfeatures des verwendeten Browsers einzuschalten und den Developer-Modus zu deaktivieren, wenn er nicht benötigt wird.
(kst)