Angreifer nutzen Firefox-Erweiterung und Instagram

Angreifer nutzen Firefox-Erweiterung und Instagram

(Quelle: https://www.instagram.com/p/BO8gU41A45g/)
9. Juni 2017 - Die Cyberspionage-Gruppe Turla nutz eine neue Angriffsstrategie, bei der eine Firefox-Erweiterung sowie Instagram verwendet werden, um an Daten von Opfern zu gelangen.
Der europäische Security-Software-Hersteller Eset hat eine neue Angriffsstrategie entdeckt, die von der Cyberspionage-Gruppe Turla angewendet wird. Turla attackiert seit 2007 Regierungen sowie Regierungsvertreter und Diplomaten. Die Gruppe nutzt in ihrer neuesten Strategie eine Firefox-Erweiterung, um das soziale Netzwerk Instagram für ihre Zwecke zu missbrauchen.

Normalerweise verwendet Turla Angriffsmethoden, bei denen potentielle Opfer beim Aufruf von kompromittierten Webseiten auf einen Command-and-Control-Server (C&C) umgeleitet werden. Dieser erlaubt dann das Senden von Befehlen oder das Ausspionieren der Geräte der Opfer.

Den Forschern von Eset fiel bei der Beobachtung von Turla-Kampagnen eine Firefox-Erweiterung auf, die erst kürzlich als schädlich eingestuft wurde. Diese nutz eine bit.ly-Kurs-URL, um Kontakt zum C&C-Server herzustellen. Dieser URL-Pfad befindet sich jedoch nicht in der Erweiterung, sondern wird über die Kommentarfunktion von Instagram Posts verbreitet – so zum Beispiel unter einem Bild auf dem Account von Britney Spears.
Um an die bit.ly-URL zu gelangen, durchsucht die Erweiterung alle Instagram-Kommentare. Jedem gelesenen Kommentar weist die Erweiterung einen benutzerdefinierten Hashwert zu. Stimmt dieser mit der Zahl 183 überein, wird der URL-Pfad aus dem Kommentar gezogen. "Die Tatsache, dass Turla Social Media nutzt, um C&C-Adressen wiederherzustellen, macht Anbietern von Cybersecurity-Lösungen das Leben schwer. Mit dieser Taktik lässt sich böswilliger von normalem Traffic in Social-Media-Kanälen kaum noch unterscheiden", so Jean-Ian Boutin, Senior Malware Researcher bei Eset. "Da die Informationen für die Command-and-Control-URL in einfachen Kommentaren versteckt sind, hat der Angreifer die Möglichkeit, diese einfach zu ändern oder komplett zu löschen."

Die Eset Forscher empfehlen, Browser und deren Erweiterungen stets aktuell zu halten. Ausserdem sollten Nutzer Erweiterungen und Add-ons nur aus seriösen Quellen beziehen und installieren. Die vollständige Analyse der neuen Angriffsmethode von Turla findet sich im Eset Blog. (swe)

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
SPONSOREN & PARTNER