Cyberkriminelle nutzen Instagram als Einfallstor Cyberkriminelle nutzen Instagram als Einfallstor - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


09.06.2017 Klaus Lorbeer/pi

Cyberkriminelle nutzen Instagram als Einfallstor

Seit 2007 attackiert die Cyberspionage-Gruppe Turla Regierungen sowie Regierungsvertreter und Diplomaten. Nun hat der europäische Security-Software-Hersteller ESET eine neue Angriffsstrategie analysiert, bei der die Gruppe eine Firefox-Erweiterung nutzt, um das beliebte soziale Netzwerk Instagram für ihre Zwecke zu missbrauchen.

Der Pfad im von ESET analysierten Sample war ein zunächst unauffälliger Kommentar unter einem Foto vom offiziellen Instagram-Account von Britney Spears.

Der Pfad im von ESET analysierten Sample war ein zunächst unauffälliger Kommentar unter einem Foto vom offiziellen Instagram-Account von Britney Spears.

© https://www.instagram.com/p/BO8gU41A45g/

Die Taktik der Turla-Gruppe besteht üblicherweise in der Kompromittierung von Webseiten, die von den anvisierten Opfern häufiger aufgerufen werden - sogenannte "Watering-Hole-Attacken". Einmal ins Netz gegangen, werden die Nutzer auf einen Command-and-Control-Server (C&C) umgeleitet, über den die Geräte der Opfer Befehle empfangen und überwacht werden können.

Verbreitung über Instagram-Kommentare 
Bei der Beobachtung aktueller Turla-Kampagnen fiel den Forschern von ESET eine Firefox-Erweiterung auf, die erst kürzlich als schädlich eingestuft wurde. Im Gegensatz zu älteren Versionen nutzt diese Erweiterung eine bit.ly-Kurz-URL, um Kontakt zum C&C-Server herzustellen. Dieser URL-Pfad findet sich allerdings nicht in der Firefox-Erweiterung, sondern wird über die Kommentarfunktion einzelner Instagram Posts verbreitet - so beispielsweise unter einem Bild auf dem Account von Britney Spears.

Um an die bit.ly-URL zu gelangen, durchsucht die Erweiterung alle Instagram-Kommentare. Für jeden Kommentar, den sie berechnet, hat sie einen benutzerdefinierten Hashwert. Wenn der Hashwert mit der Zahl 183 übereinstimmt, wird der URL-Pfad aus dem Kommentar gezogen.

Herausforderung für Security-Branche 
"Die Tatsache, dass Turla Social Media nutzt, um C&C-Adressen wiederherzustellen, macht Anbietern von Cybersecurity-Lösungen das Leben schwer. Mit dieser Taktik lässt sich böswilliger von normalem Traffic in Social-Media-Kanälen kaum noch unterscheiden", so Jean-Ian Boutin, Senior Malware Researcher bei ESET. "Da die Informationen für die Command-and-Control-URL in einfachen Kommentaren versteckt sind, hat der Angreifer die Möglichkeit, diese einfach zu ändern oder komplett zu löschen."

Um nicht selbst Opfer einer solchen Watering-Hole-Attacke zu werden, empfehlen die ESET-Forscher Browser und deren Erweiterungen stets aktuell zu halten. Zudem sollten Nutzer Erweiterungen und Add-ons nur aus seriösen Quellen laden und installieren. Glücklicherweise sind moderne Cybersecurity-Lösungen in der Lage, verdächtige Webseiten, welche potentiell schädliche Inhalte verbreiten, zu erkennen und den Nutzer rechtzeitig zu warnen.

Die vollständige Analyse der neuen Watering-Hole-Kampagne von Turla findet sich im ESET-Blog hier

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.



Hosted by:    Security Monitoring by: