Neue Malvertising-Kampagne nutzt gefälschte Windows-Nachrichtenportal zur Verbreitung schädlicher Installer

Eine neue Malvertising-Kampagne, die gefälschte Websites als legitime Windows-Nachrichtenportale tarnt, verbreitet bösartige Installationsprogramme für ein beliebtes Systemprofilierungs-Tool namens CPU-Z.

Die Sicherheitsfirma Malwarebytes berichtet, dass diese Kampagne Teil einer größeren Aktion ist, die auch andere Utilities wie Notepad++, Citrix und VNC Viewer ins Visier nimmt. Diese Erkenntnis basiert auf der Infrastruktur (Domainnamen) der Kampagne und den verwendeten Tarnvorlagen zur Vermeidung von Erkennung.

Im Gegensatz zu typischen Malvertising-Kampagnen, die Kopien von Websites mit weit verbreiteter Software erstellen, imitiert diese Aktivität speziell WindowsReport[.]com. Ziel ist es, ahnungslose Nutzer, die in Suchmaschinen wie Google nach CPU-Z suchen, durch schädliche Anzeigen auf das gefälschte Portal (workspace-app[.]online) umzuleiten.

Nicht-Zielnutzer werden hingegen auf einen harmlosen Blog mit verschiedenen Artikeln umgeleitet, eine als Cloaking bekannte Technik.

Der auf der gefälschten Website gehostete, signierte MSI-Installer enthält ein bösartiges PowerShell-Skript und einen Loader namens FakeBat (auch EugenLoader genannt), der als Zwischenstufe zur Bereitstellung von RedLine Stealer auf dem kompromittierten Host dient.

Diese Taktik ist nicht neu: Kürzlich enthüllte die Cybersicherheitsfirma eSentire Details einer aktualisierten Nitrogen-Kampagne, die den Weg für einen BlackCat-Ransomware-Angriff ebnet. Zwei weitere von eSentire dokumentierte Kampagnen zeigen, dass die Methode des Drive-by-Downloads genutzt wurde, um verschiedene Malware-Familien wie NetWire RAT, DarkGate und DanaBot zu verbreiten.

Diese Entwicklungen unterstreichen die zunehmende Abhängigkeit von Bedrohungsakteuren von Phishing-Kits, die Multi-Faktor-Authentifizierung umgehen und gezielte Konten übernehmen können.

Besondere Aufmerksamkeit erregt auch die neue sogenannte Wiki-Slack-Attacke, die darauf abzielt, Opfer auf eine von Angreifern kontrollierte Website zu lenken, indem der erste Absatz eines Wikipedia-Artikels manipuliert und auf Slack geteilt wird. Diese Methode nutzt eine Besonderheit in Slack aus, die einen Link generiert, wenn die Wikipedia-URL als Vorschau im Nachrichten-Dienst angezeigt wird.