Logo Swiss IT Magazine
MEDIADATEN
ABONNIEREN
NEWSLETTER
Angreifer nutzen Firefox-Erweiterung und Instagram
Quelle: https://www.instagram.com/p/BO8gU41A45g/

Angreifer nutzen Firefox-Erweiterung und Instagram

Die Cyberspionage-Gruppe Turla nutz eine neue Angriffsstrategie, bei der eine Firefox-Erweiterung sowie Instagram verwendet werden, um an Daten von Opfern zu gelangen.
9. Juni 2017

     

Der europäische Security-Software-Hersteller Eset hat eine neue Angriffsstrategie entdeckt, die von der Cyberspionage-Gruppe Turla angewendet wird. Turla attackiert seit 2007 Regierungen sowie Regierungsvertreter und Diplomaten. Die Gruppe nutzt in ihrer neuesten Strategie eine Firefox-Erweiterung, um das soziale Netzwerk Instagram für ihre Zwecke zu missbrauchen.

Normalerweise verwendet Turla Angriffsmethoden, bei denen potentielle Opfer beim Aufruf von kompromittierten Webseiten auf einen Command-and-Control-Server (C&C) umgeleitet werden. Dieser erlaubt dann das Senden von Befehlen oder das Ausspionieren der Geräte der Opfer.


Den Forschern von Eset fiel bei der Beobachtung von Turla-Kampagnen eine Firefox-Erweiterung auf, die erst kürzlich als schädlich eingestuft wurde. Diese nutz eine bit.ly-Kurs-URL, um Kontakt zum C&C-Server herzustellen. Dieser URL-Pfad befindet sich jedoch nicht in der Erweiterung, sondern wird über die Kommentarfunktion von Instagram Posts verbreitet – so zum Beispiel unter einem Bild auf dem Account von Britney Spears.
Um an die bit.ly-URL zu gelangen, durchsucht die Erweiterung alle Instagram-Kommentare. Jedem gelesenen Kommentar weist die Erweiterung einen benutzerdefinierten Hashwert zu. Stimmt dieser mit der Zahl 183 überein, wird der URL-Pfad aus dem Kommentar gezogen. "Die Tatsache, dass Turla Social Media nutzt, um C&C-Adressen wiederherzustellen, macht Anbietern von Cybersecurity-Lösungen das Leben schwer. Mit dieser Taktik lässt sich böswilliger von normalem Traffic in Social-Media-Kanälen kaum noch unterscheiden", so Jean-Ian Boutin, Senior Malware Researcher bei Eset. "Da die Informationen für die Command-and-Control-URL in einfachen Kommentaren versteckt sind, hat der Angreifer die Möglichkeit, diese einfach zu ändern oder komplett zu löschen."


Die Eset Forscher empfehlen, Browser und deren Erweiterungen stets aktuell zu halten. Ausserdem sollten Nutzer Erweiterungen und Add-ons nur aus seriösen Quellen beziehen und installieren. Die vollständige Analyse der neuen Angriffsmethode von Turla findet sich im Eset Blog. (swe)


Weitere Artikel zum Thema

Botnet greift Wordpress-Seiten an

 18. April 2017 - Der Trojaner Sathurbot lockt mit kostenlosen Filmen und Software. Die infizierten Rechner nutzt der Trojaner um mit einem wachsenden Botnet Wordpress-Seiten anzugreifen.

Verseuchte Minecraft-Mods auf einer Million Android-Geräten

 30. März 2017 - Die Sicherheitsspezialisten von Eset warnen vor Android-Malware, die sich hinter potentiellen Mods für das beliebte Spiel Minecraft verstecken.

Android-Ransomware auf dem Vormarsch

 21. Februar 2017 - Eset hat einen Sicherheitsbericht veröffentlicht, der aufzeigt, dass die Malware auf Android-Geräten im Vergleich zum Vorjahr um 20 Prozent zugenommen hat. Bei der Ransomware gab es gar eine Zunahme von 50 Prozent.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
Im Spannungsfeld zwischen Innovationsgeist und Risikobereitschaft
Innovationen und Herausforderungen im digitalen Zeitalter
Unwetterwarnung!
Was tun als KMU, wenn die Attacken immer perfider werden?
Eine Cloud-Lösung kann Datensicherheit erhöhen
Advertorial

Eine Cloud-Lösung kann Datensicherheit erhöhen

In Rechenzentren sind weltweit grosse Datenmengen gespeichert, respektive auf Servern, die in Colocationsflächen kommerzieller Rechenzentrumsanbieter betrieben werden. Vergleicht man die Voraussetzungen mit Datenspeicherung im eigenen Unternehmen oder eigenem Rechenzentrum, so sind die Sicherheitsstandards in kommerziellen Rechenzentren höher. Cloud-Provider nutzen sichere Rechenzentrumsinfrastruktur und eine souveräne Cloud bietet hohen Datenschutz.
Schweizer Produktionsbetrieb bevorzugt gebrauchte Lizenzen
GOLD SPONSOREN
SPONSOREN & PARTNER