Cyber-Kriminelle machen sich die Funktionen der Google Cloud zu Nutze, um Phishing-Kampagnen voranzutreiben und Konto-Daten zu erbeuten

[datensicherheit.de, 26.07.2020] Laut „Check Point Research“ machen sich Cyber-Kriminelle die Funktionen der Plattform „Google Cloud“ zu Nutze, um ihre Phishing-Kampagnen voranzutreiben und Konto-Daten zu erbeuten. Das Research-Team der Check Point® Software Technologies Ltd. hat demnach eine neue Phishing-Kampagne in Zusammenhang mit der „Google Cloud“ aufgedeckt. Cyber-Kriminelle missbrauchten den Namen und die Funktionen dieser Plattform, um an die Login-Daten der Nutzer zu gelangen.

Foto: Check Point Software Technologies GmbH

Lotem Finkelsteen: Hacker konzentrieren sich zunehmend auf Cloud-Storage-Dienste!

Angriff beginnt mit pdf-Dokument, welches auf Google Cloud-Speicherort Google Drive geladen wird

Der Angriff beginne mit einem pdf-Dokument, welches von den Betrügern auf den „Google Cloud“-Speicherort „Google Drive“ geladen werde. Diese PDF-Datei enthalte einen Link zu einer Phishing-Seite, welche sich als angeblicher Internet-Auftritt von „Office 365“ maskiere und mit einem gefälschten Login-Fenster aufwarte.
„Geben die Nutzer dort ihre Zugangsdaten ein, werden sie an den Server der Hacker geschickt. So weit, so das bekannte Vorgehen bei Phishing-Attacken. Das gefährliche hier jedoch: Da der Prozess über die ,Google Cloud‘-Plattform läuft, wird der Anwender nicht durch eindeutige Signale, wie das Fehlen der üblichen Webseiten-Zertifikate oder des grünen Vorhängeschlosses in der Adressleiste, gewarnt.“

Verschleierung mittels Google Cloud Functions

Außerdem werde der Nutzer, nach Eingabe seiner Anmelde-Daten tatsächlich zu einem Bericht einer renommierten Unternehmensberatung in Form eines pdf-Dokuments geleitet. Das täusche ihn also nach dem erfolgreichen Diebstahl seiner Informationen zusätzlich und wiege ihn in Sicherheit.
Um die böswilligen Absichten bei dieser Kampagne zu erkennen, müsste man einen Blick in den Quellcode der Phishing-Seite werfen. Dieser offenbare, „dass die meisten Inhalte von einer externen Adresse geladen werden – die wohl den Kriminellen gehört“. Diese setzten als Werkzeug jedoch „Google Cloud Functions“ ein – einen Dienst von Google zur Ausführung von Code in der „Google Cloud“. Die Verbrecher seien somit in der Lage, den eigentlichen Ursprung dieser externen und betrügerischen Inhalte zu verschleiern.

Nutzer der Google Cloud sollten zweimal über Dateien nachdenken, bevor sie diese öffnen

„Hacker konzentrieren sich zunehmend auf die Cloud-Storage-Dienste, denen wir vertrauen. Das macht es viel schwieriger, einen Phishing-Angriff zu erkennen. Herkömmliche ‚rote Flaggen‘ eines Phishing-Angriffs, wie ähnliche klingende Domäne-Namen oder Webseiten ohne erforderliche Zertifikate, helfen hier kaum“, warnt Lotem Finkelsteen, „Manager of Threat Intelligence“ bei Check Point Software Technologies.
Nutzer der „Google Cloud“-Plattform, sogar „AWS“- und „MS-Azure“-Nutzer, sollten sich vor diesem schnell wachsenden Trend in Acht nehmen und lernen, sich zu schützen. Finkelsteen: „Es beginnt bereits damit, dass die Anwender zweimal über die Dateien nachdenken sollten, die über eine E-Mail erhalten und öffnen möchten.“

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD.
How scammers are hiding their phishing trips in public clouds

datensicherheit.de, 11.02.2020
Check Point: Facebook ist die Top-Adresse für Phishing-Versuche

[datensicherheit.de, 15.04.2014] Erneut versuchen Online-Kriminelle, über gefälschte Telekom-Rechnungen Schadcode auf Rechnern zu verbreiten. Seit dem 13. Mai kursieren zahlreiche Spam-Mails, in denen dazu aufgefordert wird, über einen Download-Link ausstehende Rückstände abzurufen. Hinter dem Link verbirgt sich eine als PDF getarnte ausführbare Datei, die einen Schadcode enthält, der aktuell von den meisten Virenscannern noch nicht erkannt wird.

Nach ersten Untersuchungen der Deutschen Telekom wird der Schadcode auch für Betrug im Zusammenhang mit Bitcoins genutzt (sogenanntes Bitcoin Mining). Unter Bitcoins versteht man eine virtuelle Währung, die auf den Rechnern selbst erzeugt wird. Die Kriminellen nutzen vermutlich infizierte Rechner, um für sich selbst massenhaft Bitcoins zu erzeugen, die sie wiederum zum Bezahlen einsetzen.

Weitere Informationen zum Thema:

Deutsche Telekom, 15.05.2014
Warnung vor gefälschten Telekom-Rechnungen / Antworten auf die wichtigsten Fragen

[datensicherheit.de, 22.12.2011] Der IT-Sicherheitsanbieter TREND MICRO warnt aus Anlass des Todes Kim Jong Ils vor Spam-Nachrichten mit bösartigem PDF-Anhang:
Wer diesen öffnet, bekomme ein Foto Kim Jong Ils zu sehen – doch infiziere der Anwender dadurch seinen Rechner mit einem Trojaner. Der Betreff der Spam-Nachricht laute „N Korean leader Kim Jong-il dies“; die bösartige PDF-Datei trage den Namen „brief_introduction_of_kim-jong-il.pdf.pdf“. Außerdem machten im Web weitere mit Trojanern und Backdoor-Programmen infizierte Dokumente die Runde, mit „Kim Jong Il“ als Teil des Dateinamens.
Der Missbrauch der Namen von Persönlichkeiten des öffentlichen Lebens sei eine altbekannte Masche Cyber-Krimineller, besonders bei aktuellen Ereignissen rund um diese Personen. Die Anwender sollten sich daher zu diesen Ereignissen am besten immer über seriöse Nachrichtenseiten informieren, anstatt auf unbekannte Quellen im Internet zu vertrauen, rät TREND MICRO.

[datensicherheit.de, 06.07.2011] Das Betriebssystem Apple iOS, das in Geräten zur mobilen Kommunikation und Internetnutzung wie dem „iPhone“, „iPad“ und „iPod touch“ eingesetzt wird, enthält in der zur Betrachtung von PDF-Dateien verwendeten Bibliothek kritische Schwachstellen:
Bereits das Anklicken eines manipulierten PDF-Dokuments oder das Ansurfen einer mit PDF-Dokumenten versehenen Website reichten laut BSI aus, um das mobile Gerät ohne Wissen des Nutzers mit Schadsoftware zu infizieren. Die Schwachstellen ermöglichten es potenziellen Angreifern, Zugriff mit Administratorrechten auf das komplette System zu erlangen. Bislang stehe noch kein Patch für diese Sicherheitslücken zur Verfügung.
Von den Schwachstellen betroffen seien die Betriebssysteme „Apple iOS für iPhone 3GS“ und „iPhone 4“ bis einschließlich Version 4.3.3, „Apple iOS für iPad“ und „iPad 2“ bis einschließlich Version 4.3.3 sowie „Apple iOS für iPod touch“ bis einschließlich Version 4.3.3. Derzeit sei nicht auszuschließen, dass auch weitere Versionen des Betriebssystems iOS von der Schwachstelle betroffen sind.
Die Schwachstellen sind öffentlich bekannt und Exploit-Code zu deren Ausnutzung ist verfügbar. Zwar wurden noch BSI-Erkenntnissen keine Angriffe beobachtet, es ist jedoch damit zu rechnen, dass Angreifer die Schwachstellen zeitnah ausnutzen werden. Mögliche Angriffsszenarien für Cyber-Kriminelle sind unter anderem das Auslesen von vertraulichen Informationen wie Passwörtern, Online-Banking-Daten, Terminkalendern, E-Mail-Inhalten, SMS oder Kontaktdaten, sowie der Zugriff auf eingebaute Kameras, das Abhören von Telefongesprächen oder die GPS-Lokalisierung des Nutzers.
Aufgrund der Popularität der iOS-Geräte werden diese häufig auch im beruflichen Umfeld genutzt. Nach Kenntnis des BSI werden insbesondere „iPhone“ und „iPad“ auch im höheren Management eingesetzt. Daher ist es möglich, dass die Schwachstellen auch für gezielte Angriffe auf Führungskräfte ausgenutzt werden, beispielsweise um an vertrauliche Unternehmensinformationen zu gelangen.
Bis zur Veröffentlichung eines Software-Updates des Herstellers empfiehlt das BSI, PDF-Dokumente aus unbekannten oder unsicheren Quellen nicht auf iOS-Geräten zu öffnen. Dies gilt sowohl für PDFs, die auf Websites bereitgestellt werden, als auch für PDFs in E-Mails oder anderen Applikationen. Die Nutzung des Browsers auf dem mobilen Endgerät sollte auf vertrauenswürdige Websites beschränkt werden. Hyperlinks in E-Mails oder auf Websites sollten nur geöffnet werden, wenn diese aus vertrauenswürdigen Quellen stammen. Bei der Nutzung von Suchmaschinen sollte man bei den Ergebnissen in der Trefferliste darauf achten, nicht ein PDF-Dokument anzuklicken.
Das BSI steht in Kontakt mit dem Hersteller Apple und wird über neue Sicherheitsinformationen berichten. Ähnliche Schwachstellen sind bereits im August 2010 bekannt geworden und innerhalb kurzer Zeit geschlossen worden. Es ist auch diesmal davon auszugehen, dass Apple zeitnah ein Sicherheits-Update veröffentlichen wird, das die Schwachstellen schließt.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 06.07.2011
Neue Schwachstellen im Apple Betriebssystem iOS / Ausführung von Schadprogrammen auf iPhone, iPad und iPod touch möglich

[datensicherheit.de, 14.09.2010] Vor einer einer kritischen Schwachstelle im Adobe Flash Player warnt das Bundesamt für Sicherheit in der Informationstechnik – betroffen seien sowohl die Flash Player für Windows, Mac OS X, Linux und Solaris als auch für das mobile Betriebssystem Android. Da auch die PDF-Software Adobe Reader und Acrobat eine eigene, ebenfalls verwundbare Version des Flash Players beinhalten, seien auch diese auf den Betriebssystemen Windows, Mac OS X und Unix gefährdet. Durch Ausnutzung der aktuellen Lücke könnte ein Angreifer mit Hilfe von speziell manipulierten Flash-Inhalten auf einer Website die Kontrolle über einen PC übernehmen, wenn der Nutzer zum Beispiel eine präparierte Website mit dem Browser aufruft. Zudem könnten Computer auch durch das Öffnen von PDF-Dokumenten mit dem Adobe Reader erfolgreich kompromittiert werden, wenn ein Angreifer Schadcode in diesen Dokumenten platziere und den Nutzer zum Öffnen eines solchen Dokuments verleiten könne.
Die Schwachstelle im Adobe Flash Player werde bereits aktiv im Internet ausgenutzt; das BSI rechne kurzfristig auch mit Angriffen gegen den Adobe Reader. Generell sei aufgrund der hohen Verbreitung der betroffenen Produkte mit einer Zunahme von Angriffsversuchen zu rechnen.
Bis zur Veröffentlichung der Updates Ende September 2010 sollten Anwender versuchen, möglichst nur PDF-Dokumente aus vertrauenswürdigen Quellen zu öffnen. Der Browser und die auf dem PC installierte PDF-Software wie der Adobe Reader sollten zudem nicht mit Administratorrechten ausgeführt werden. Das Betrachten von Flash-Inhalten sollte nach Möglichkeit auf wenige vertrauenswürdige Anbieter beschränkt werden.

Weitere Informationen zum Thema:

BSI für Bürger
Kritische Schwachstelle im Adobe Flash Player

Adobe, 13.09.2010
Security bulletin / Security Advisory for Flash Player
http://www.adobe.com/support/security/advisories/apsa10-03.html

BÜRGERCERT, 09.09.2010
Technische Warnung / Adobe Reader und Acrobat 9.3.4
http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plfhvcYviPBTdw%253d%253d

[datensicherheit.de, 24.07.2009] Das vom BSI betriebene „Bürger-CERT“ hat eine Alarmmeldung – Risiko: sehr hoch – herausgegeben. Betroffene Systeme von Adobe seien der „Reader 9.1.2“ und früher, „Acrobat 9.1.2“ und früher, die „Flash Player“ 9.0.159.0, 10.0.22.87 sowie frühere 9.x- und 10.x-Versionen:
Das „Bürger-CERT“ rät bis zur Bereitstellung eines Patches für den „Adobe Flash Player“ sowie „Adobe Reader“ und „Adobe Acrobat“ zur Deaktivierung von „Adobe Flash Browser-Plugins“, wie auch von „Flash“-Inhalten in den Adobe-PDF-Anwendungen. Adobe sehe die Bereitstellung von Sicherheitsupdates für den „Flash Player“ 9.x und 10.x für Windows-, Macintosh- und Linux-Betriebssysteme am 30. Juli 2009 vor. Sicherheitsupdates für den „Adobe Reader“ (zunächst für Windows und Macintosh) sollen am 31. Juli 2009 folgen.
Im „Adobe Flash Player“ sowie im „Adobe Reader“ und „Acrobat“ existiere eine kritische Sicherheitslücke bei der Verarbeitung von speziell manipulierten „Flash“-Inhalten (SWF-Dateien). Ein entfernter Angreifer könne die Sicherheitslücke mit Hilfe von manipulierten „Flash“-Inhalten auf Websites oder in PDF-Dateien ausnutzen, um Schadsoftware auf dem Rechner der Opfer auszuführen. Diese Schwachstelle werde bereits auf manipulierten Websites aktiv ausgenutzt.

Weiter Informationen zum Thema:

Bürger-CERT, 23.07.2009
Technische Warnung / Bcert-2009-0024 / Kritische Schwachstelle im Adobe Flash Player sowie den PDF-Anwendungen Adobe Reader und Acrobat

Adobe, 22.07.2009
Security bulletin / Security advisory for Adobe Reader, Acrobat and Flash Player