Google trifft auf gefälschte Seiten, die in der ClickFix-Hacking-Kampagne verwendet wurden
Wie aus jüngsten Berichtenhaben Bedrohungsakteure nun damit begonnen, gefälschte Google Meet gefälschte Seiten als Teil der ClickFix-Hacking-Kampagne einzusetzen. Diese Cybercrime-Initiative zielt darauf ab, Windows- und macOS-Benutzer mit Infostealern zu versorgen.
In diesem Artikel gehen wir auf die Details der Cyberangriffskampagne ein und erörtern Maßnahmen, die zum Schutz beitragen können. Fangen wir an!
Die Google Meet Fake Pages Aufgedeckte Kampagne
Bevor wir in die Details der Angriffskampagne eintauchen, sei erwähnt, dass es von der ClickFix-Kampagne auch andere Varianten namens ClearFake und OneDrive Pastejacking gibt. Bei diesen Kampagnen setzen die Bedrohungsakteure verschiedene Mechanismen ein, um die Nutzer zum Besuch gefälschter Seiten zu verleiten. Sekoia, ein französisches Cybersicherheitsunternehmen, hat Einblicke in den Angriff gewährt erklärt das:
"Bei dieser Taktik werden gefälschte Fehlermeldungen in Webbrowsern angezeigt, um Benutzer dazu zu verleiten, einen bestimmten bösartigen PowerShell-Code zu kopieren und auszuführen und schließlich ihre Systeme zu infizieren.
Einige der gefälschten Google Meet-Seiten die in Angriffskampagnen verwendet wurden, haben die folgenden URLs:
- meet.google.us-join[.]com
- meet.googie.com-join[.]us
- meet.google.com-join[.]us
- meet.google.web-join[.]com
- treffen.google.webjoining[.]com
- meet.google.cdm-join[.]us
- meet.google.us07host[.]com
Neben der Verwendung mehrerer Google Meet-Fälschungsseitenverwenden die Bedrohungsakteure auch verschiedene Nutzlasten auf Windows- und macOS-Geräten. Unter Windows werden StealC und Rhadamanthys Steelers verwendet, um die Angriffe auszuführen. Bei Opfern, die macOS-Geräte nutzen, verwenden die Bedrohungsakteure jedoch Datenträgerabbild-Dateinamen "Launcher_v1.94.dmg" für die Bereitstellung des atomaren Infostealers.
Die Angriffstaktik von ClickFix
Die ClickFix-Kampagne konzentrierte sich auf die Verwendung von Google Meet Fake-Seiten ist die jüngste Welle der Innovation bei Social-Engineering-Angriffen. Das Besondere an diesen Angriffen ist die Tatsache, dass die Kampagne von den Benutzern verlangt, den bösartigen PowerShell-Code manuell auszuführen, anstatt ihn automatisch auszuführen.
Eine solche Angriffstaktik ermöglicht es Hackern, sich der Entdeckung zu entziehen und Sicherheitstools zu umgehen, da der ausgeführte Code nicht als Remote-Befehl gekennzeichnet ist. Cybersecurity-Experten haben die Google Meet gefälschte Seiten Angreifer als zwei Händlergruppen von Slavic Nation Empire, auch bekannt als Slavice Nation Land, und Scamquerteo.
Es ist erwähnenswert, dass es sich bei beiden um Unterteams von Markopolo bzw. Cryptoove handelt. Experten haben erklärt, dass die Hacker die Angriffstaktik beleuchtet haben:
"Sie verwenden die gleiche ClickFix-Vorlage, die sich als Google Meet ausgibt. Diese Entdeckung deutet darauf hin, dass diese Teams Materialien, auch bekannt als 'Landing Project', sowie die Infrastruktur gemeinsam nutzen."
Der Einsatz von Open-Source-Infostealern hat sich zu einer bedeutenden Veränderung in der aktuellen Cyberkriminalitätslandschaft entwickelt. Für Sicherheitsexperten ist es wichtig, solche Angriffe im Detail zu untersuchen und kompromisslose Sicherheitsprotokolle zu entwickeln, die den Schutz gewährleisten können.
Schlussfolgerung
Die Verwendung von gefälschten Google Meet-Seiten durch die ClickFix-Kampagne verdeutlicht die zunehmende Raffinesse von Social-Engineering-Angriffen. Da Cyberkriminelle immer neue Wege gehen, ist es für Nutzer und Unternehmen gleichermaßen wichtig, wachsam zu bleiben, die Verteidigung zu stärkenund proaktive Sicherheitsmaßnahmen zu ergreifen, um die sich entwickelnden Bedrohungen zu entschärfen.
Die Quellen für diesen Artikel sind unter anderem Artikel in Die Hacker-Nachrichten und HelpNetSecurity.