Cybersicherheitsforscher von HP Wolf Security haben vor mehreren aktiven Kampagnen gewarnt, die darauf abzielen, verschiedene Arten von Malware zu verbreiten (öffnet in neuem Tab) an ahnungslose Opfer über Typosquatting-Domains und Malvertising.
Das erklärte das Team in einem Blogbeitrag (öffnet in neuem Tab) wie sie Bedrohungsakteure fanden, die mehrere typosquatte Websites erstellten, die beliebte Software wie Audacity, Blender oder GIMP imitierten.
Die Betrüger bezahlten auch verschiedene Werbenetzwerke, um Anzeigen zu schalten und diese gefälschten Websites zu bewerben. Auf diese Weise könnten Suchmaschinen bei der Suche nach diesen Programmen bösartige Versionen der Websites direkt neben legitimen anbieten. Wenn ein Benutzer nicht aufpasst und die URL der besuchten Website nicht doppelt überprüft, landet er möglicherweise an der falschen Stelle.
Gefälschte Installationsprogramme
Wenn Opfer am falschen Ort landen, werden sie den Unterschied kaum bemerken. Die Websites sind so gestaltet, dass sie bis ins kleinste Detail fast identisch mit den authentischen aussehen. Im Beispiel von Audacity hostet die Website eine bösartige .exe-Datei, die sich als Installer des Programms ausgibt. Es heißt „audacity-win-x64.exe“ und ist mehr als 300 MB groß.
Durch diese Größe versuchen die Angreifer, keinen Verdacht zu erregen (Malware wird normalerweise in KB gemessen), versuchen aber auch, Antivirenprogramme zu umgehen. Laut den Forschern scannen die automatischen Scanfunktionen einiger Antivirenprogramme extrem große Dateien nicht.
Die Dateien werden auf dem Cloud-Speicherdienst 4sync.com gehostet, sagten die Forscher und fügten hinzu, dass alle gefälschten Installationsprogramme in dieser Kampagne dort gehostet wurden, was darauf hindeutet, dass ein guter Abwehrmechanismus darin bestehen könnte, den Zugriff auf diesen Dienst vollständig zu blockieren.
In der Kampagne werden verschiedene Arten von Malware verbreitet. Die größten Kampagnen, die die Forscher gesehen haben, nutzten diesen Bereitstellungsansatz, um den IcedID-Trojaner einzusetzen, aber Vidar Infostealer, BatLoader und Rhadamanthys Stealer wurden alle beobachtet. Laut HP Wolf Security haben diese Kampagnen seit November letzten Jahres zugenommen.