Angreifer nutzen Firefox-Erweiterung und Instagram
Quelle: https://www.instagram.com/p/BO8gU41A45g/

Angreifer nutzen Firefox-Erweiterung und Instagram

Die Cyberspionage-Gruppe Turla nutz eine neue Angriffsstrategie, bei der eine Firefox-Erweiterung sowie Instagram verwendet werden, um an Daten von Opfern zu gelangen.
9. Juni 2017

     

Der europäische Security-Software-Hersteller Eset hat eine neue Angriffsstrategie entdeckt, die von der Cyberspionage-Gruppe Turla angewendet wird. Turla attackiert seit 2007 Regierungen sowie Regierungsvertreter und Diplomaten. Die Gruppe nutzt in ihrer neuesten Strategie eine Firefox-Erweiterung, um das soziale Netzwerk Instagram für ihre Zwecke zu missbrauchen.

Normalerweise verwendet Turla Angriffsmethoden, bei denen potentielle Opfer beim Aufruf von kompromittierten Webseiten auf einen Command-and-Control-Server (C&C) umgeleitet werden. Dieser erlaubt dann das Senden von Befehlen oder das Ausspionieren der Geräte der Opfer.


Den Forschern von Eset fiel bei der Beobachtung von Turla-Kampagnen eine Firefox-Erweiterung auf, die erst kürzlich als schädlich eingestuft wurde. Diese nutz eine bit.ly-Kurs-URL, um Kontakt zum C&C-Server herzustellen. Dieser URL-Pfad befindet sich jedoch nicht in der Erweiterung, sondern wird über die Kommentarfunktion von Instagram Posts verbreitet – so zum Beispiel unter einem Bild auf dem Account von Britney Spears.
Um an die bit.ly-URL zu gelangen, durchsucht die Erweiterung alle Instagram-Kommentare. Jedem gelesenen Kommentar weist die Erweiterung einen benutzerdefinierten Hashwert zu. Stimmt dieser mit der Zahl 183 überein, wird der URL-Pfad aus dem Kommentar gezogen. "Die Tatsache, dass Turla Social Media nutzt, um C&C-Adressen wiederherzustellen, macht Anbietern von Cybersecurity-Lösungen das Leben schwer. Mit dieser Taktik lässt sich böswilliger von normalem Traffic in Social-Media-Kanälen kaum noch unterscheiden", so Jean-Ian Boutin, Senior Malware Researcher bei Eset. "Da die Informationen für die Command-and-Control-URL in einfachen Kommentaren versteckt sind, hat der Angreifer die Möglichkeit, diese einfach zu ändern oder komplett zu löschen."


Die Eset Forscher empfehlen, Browser und deren Erweiterungen stets aktuell zu halten. Ausserdem sollten Nutzer Erweiterungen und Add-ons nur aus seriösen Quellen beziehen und installieren. Die vollständige Analyse der neuen Angriffsmethode von Turla findet sich im Eset Blog. (swe)


Weitere Artikel zum Thema

Botnet greift Wordpress-Seiten an

18. April 2017 - Der Trojaner Sathurbot lockt mit kostenlosen Filmen und Software. Die infizierten Rechner nutzt der Trojaner um mit einem wachsenden Botnet Wordpress-Seiten anzugreifen.

Verseuchte Minecraft-Mods auf einer Million Android-Geräten

30. März 2017 - Die Sicherheitsspezialisten von Eset warnen vor Android-Malware, die sich hinter potentiellen Mods für das beliebte Spiel Minecraft verstecken.

Android-Ransomware auf dem Vormarsch

21. Februar 2017 - Eset hat einen Sicherheitsbericht veröffentlicht, der aufzeigt, dass die Malware auf Android-Geräten im Vergleich zum Vorjahr um 20 Prozent zugenommen hat. Bei der Ransomware gab es gar eine Zunahme von 50 Prozent.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER