Malvertising-Angriffe von BlackCat

Die Ransomware-Gruppierung BlackCat führt derzeit Malvertising-Kampagnen durch. Damit möchte sie Nutzerinnen und Nutzer auf gefälschte Webseiten locken, die die offizielle Webseite der WinSCP-Dateiübertragungsanwendung für Windows imitieren. Stattdessen bietet die Gruppierung dort aber mit Malware verseuchte Installationsprogramme an.

WinSCP (Windows Secure Copy) ist ein beliebter kostenloser und quelloffener SFTP-, FTP-, S3-, SCP-Client- und Dateimanager mit SSH-Dateiübertragungsfunktionen. Allein auf SourceForge wird er wöchentlich 400.000 Mal heruntergeladen.

BlackCat nutzt das Programm als Köder, um potenziell die Computer von System- und Webadministratoren, sowie IT-Fachleuten zu infizieren und sich so Zugang zu Unternehmensnetzwerken zu verschaffen.

Die folgende Vorgehensweise hat Trend Micro beobachtet, ein japanischer Anbieter von IT-Sicherheitsprodukten und -dienstleistungen:

1. Der BlackCat-Angriff beginnt damit, dass das Opfer auf Bing oder Google nach „WinSCP Download“ sucht. Bei den Suchtreffern rangieren infizierte Ergebnisse über den sicheren WinSCP-Download-Seiten.
2. Die Opfer klicken auf eine dieser Anzeigen.
3. Eine Webseite wird angezeigt, die Anleitungen zur automatischen Dateiübertragung mit WinSCP zur Verfügung stellt. Diese Seiten enthalten keine bösartigen Elemente und entgehen wahrscheinlich der Erkennung durch die Crawler von Google.
4. Über eine Download-Schaltfläche werden die Besucher auf einen Klon der offiziellen WinSCP‑Webseite umgeleitet. Diese Klone verwenden Domänennamen, die der echten winscp.net-Domäne ähnlich sind, z. B. winsccp[.]com.
5. Das Opfer klickt auf die Schaltfläche.
6. So wird eine ISO-Datei heruntergeladen, die die Dateien „setup.exe“ und „msi.dll“ enthält. Die erste Datei ist der Köder, der den Benutzer zum Starten verleitet. Die andere ist der Malware-Dropper, der durch die ausführbare Datei ausgelöst wird.
7. Dieser Prozess installiert außerdem eine trojanisierte python310.dll und erstellt einen Persistenzmechanismus. Dazu erstellt er einen Ausführungsschlüssel mit dem Namen „Python“ und dem Wert „C:\Users\Public\Music\python\pythonw.exe“.
8. Die ausführbare Datei pythonw.exe lädt eine modifizierte, verschleierte python310.dll, die einen „Cobalt Strike“-Beacon enthält. Dieser stellt eine Verbindung zu einer Command-and-Control-Serveradresse her.

BlackCat stellt gegenwärtig ein großes Bedrohungspotenzial für Deutschland im Allgemeinen dar. Aus diesem Grund sollte zu dieser Ransomware-Gruppierung regelmäßig informiert und gewarnt werden, insbesondere dann, wenn sich Änderungen im Angriffsverhalten ergeben haben.

Beachten Sie folgende Empfehlungen:

• Besuchen Sie nur vertrauenswürdige Webseiten. 
• Achten Sie dabei auf die exakte Schreibweise von Domänennamen.
• Bilden Sie sich und Ihre Mitarbeiterinnen und Mitarbeiter ständig weiter. Informieren Sie sich zu aktuellen Bedrohungen und wie man diese erkennt.
• Halten Sie grundsätzlich alle Systeme stets auf dem aktuellen Stand.
• Verwenden Sie weitere Schutzmaßnahmen wie Firewall, Intrusion-Detection-System, Antiviren-Software sowie eine Multi-Faktor-Authentifizierung.