Die Security-Analysten von Zscaler konnten zwei Kampagnen aufdecken, bei denen Cyberkriminelle ahnungslose Nutzer dazu bringen wollen, einen Remote Access Trojaner (RAT) über ein gefälschtes Flash-Player- und ein Font-Update herunterzuladen. Ziel dieser Kampagnen ist es, bösartige Redirector-Skripte in Content-Management-System-Plattformen einzuschleusen.
Die betroffenen Seiten basieren in der Regel auf beliebten Programmen, wie WordPress, Joomla, oder Drupal. Die Cyberkriminellen greifen über Schwachstellen an, die sich in Plugins, Themes und Erweiterungen verstecken. Beide untersuchte Malware-Kampagnen liefern eine Payload aus die dazu dient sensible Informationen zu stehlen.
Angriffsmethode 1: Gefälschte Flash Player Update-Kampagne
Bei diesem Angriff hackten Cyberkriminelle WordPress-Webseiten über die Theme-Plugin-Schwachstelle und injizierten zwei bösartige Redirect-Skripte in die betroffene Website. Durch die Verwendung eines der beiden Skripte bringen die Angreifer Malware auf der Benutzerseite aus. Das injizierte Skript leitet zur Betrugsseite weiter und lädt das Skript für die gefälschte Update-Vorlage herunter, um dem Benutzer eine gefälschte Flash Player-Update-Warnung anzuzeigen.
Angriffsmethode 2: Kampagne zur Aktualisierung gefälschter Schriftarten
Bei diesem Angriff injizieren die Cyberkriminellen das Skript der gefälschten Update-Vorlage direkt, indem sie die legitime Website ausnutzen, um der Erkennung zu entgehen. Die Template-Skriptlogik identifiziert den verwendeten Browser des Anwenders. Beim Zugriff auf die kompromittierte Website über Chrome erhält der Benutzer eine Warnung, dass die Schriftart ‚PT Sans‘ nicht gefunden wurde.
RATs werden von Cyberkriminellen genutzt, um eine Hintertür im System des Ziel-Unternehmens zu etablieren um dadurch aus der Ferne darauf zuzugreifen. In der heutigen digitalen Welt ist die Webseite ein wertvolles Gut, die das Unternehmen in der Öffentlichkeit präsentiert. Als solches gilt es den Auftritt vor Angriffen zu schützen, die den Geschäftsbetrieb, Mitarbeiter oder Kunden einem Risiko aussetzen können. Zscaler hat in den vergangenen drei Monaten 40.000 der beschriebenen Angriffe in der Security Cloud blockiert.