Alles rund um Windows

Fast 1 Million Geschäfts- und Heim-PCs wurden kompromittiert, nachdem Benutzer illegale Streaming-Seiten besucht hatten

Unvorsichtiges Surfen im Internet seitens der Mitarbeiter ist weiterhin der Albtraum jedes IT-Sicherheitsbeauftragten. Das jüngste Beispiel für die Folgen kommt von Microsoft, dem zufolge Anfang Dezember eine groß angelegte Datendiebstahlkampagne aufgedeckt wurde, bei der Malware über GitHub, Discord und Dropbox auf fast 1 Million Geräte verteilt wurde.

Die wahrscheinliche Ursache: Nutzer, die auf betrügerische Anzeigen auf Webseiten für Streaming-Dienste mit raubkopierten Videos geklickt haben.

Und obwohl es den Anschein haben mag, dass normale Nutzer die Opfer sind, berichtet Microsoft, dass die Kampagne auch eine Vielzahl von Organisationen und Branchen betraf, darunter sowohl Verbraucher- als auch Unternehmensgeräte.

Der Bericht zeigt nicht nur, dass Plattformen wie GitHub, Discord und Dropbox ihre Sicherheit verbessern müssen, sagen Experten, sondern auch, dass Sicherheitsbeauftragte im Rahmen von Schulungen zur Sensibilisierung für Sicherheit die Mitarbeiter regelmäßig an die Risiken erinnern müssen, die mit dem Besuch von Webseiten, die vermeintliche Vorteile versprechen, sowohl am Arbeitsplatz als auch zu Hause verbunden sind.

Die Verbreitung von Malware durch manipulative Werbung und die Beteiligung von GitHub ist nichts Neues. Heute ist es fast schon Alltag. Jedes Cybersicherheitstraining sollte eine Schulung darüber beinhalten, wie Internetsuchmaschinen und Werbung einen an schlechte Orte führen können. Die Menschen müssen sich dieser Realität bewusst sein. Das war schon immer so, aber es ist schlimmer als je zuvor.

Er wies darauf hin, dass selbst wenn ein potenzielles Opfer auf eine schädliche Webseite geleitet wird, der Benutzer selbst etwas tun und oft mehrere Sicherheitswarnungen ignorieren muss, um die Malware auszuführen.

Die Malware wird nicht einfach auf dem Gerät der Person ausgeführt und beginnt, Schaden anzurichten, es sei denn, es sind keine Sicherheitsupdates installiert. Normalerweise muss der Benutzer manuell und aktiv die Ausführung des Malware-Inhalts zulassen (anstatt nur eine Webseite anzuzeigen). Die Benutzer müssen also darauf aufmerksam gemacht werden, dass es bösartige Werbung gibt und dass sie in der Regel davor geschützt sind, wenn sie die Ausführung der Inhalte nicht manuell zulassen.

Für IT-Sicherheitsbeauftragte zeigt der Bericht, wie wichtig es ist, einen Werbeblocker und andere Schutzmaßnahmen einzusetzen, sagte Johannes Ullrich, Forschungsdekan am SANS Institute, und das nicht nur für den Fall, dass Mitarbeiter die Unternehmensrichtlinie ignorieren, um sich von nicht genehmigten Webseiten fernzuhalten. "Leider", so Ullrich in einer E-Mail, "werden bösartige Anzeigen immer noch auch auf legitimen Webseiten angezeigt."

Kampagnen haben mehrere Phasen

Bei dieser Kampagne erfolgte die Verbreitung der Malware größtenteils über GitHub, und Microsoft, dem GitHub gehört, konnte die Kampagne durch die Entfernung der infizierten Repositorys abwenden. Aber GitHub ist nicht die einzige Webseite, die auf diese Weise missbraucht wird. Ullrich zufolge handelt es sich um ein allgemeines Problem für alle Filehosting-Webseiten.
Sicherheitsforscher berichten, dass Bedrohungsakteure GitHub insbesondere zur Verbreitung von Malware nutzen, was zum Teil darauf zurückzuführen ist, dass es sich um einen Server handelt, dem Anwendungsentwickler beim Abrufen von Open-Source-Code vertrauen.

In einem der jüngsten Berichte gab Kaspersky letzten Monat bekannt, dass eine Kampagne unbekannter Angreifer aufgedeckt wurde, bei der über 200 GitHub-Repositories ("Repos") erstellt wurden, die gefälschte Projekte mit bösartigem Code enthielten, darunter Telegram-Bots, Tools zum Hacken des Spiels Valorant, Instagram-Automatisierungs-Dienstprogramme und Bitcoin-Wallet-Manager. 
Diese Kampagne läuft laut Kaspersky seit mindestens zwei Jahren.

Und vor etwas mehr als einem Jahr berichteten Forscher von Apiiro, dass sie über 100.000 GitHub-Code-Repositories gefunden haben, die Tippfehler-Squatting (Verwendung ähnlicher Namen wie bei legitimen Repositories) verwenden, um legitime Repositories nachzuahmen, oder indem sie einfach ein bestehendes Repository klonen.

Diese Beispiele zeigen ein weiteres Element der Schulung zum Sicherheitsbewusstsein: Sicherstellen, dass Entwickler verstehen, dass sie die Legitimität eines Repositories überprüfen müssen, bevor sie Code herunterladen, der für eine Unternehmensanwendung bestimmt ist.

In dem jüngsten Microsoft-Bericht über Malvertising heißt es, dass infizierte illegale Streaming-Websites Malvertising-Redirectoren in Filmrahmen eingebettet haben, um Pay-per-View- oder Pay-per-Click-Einnahmen für den oder die Bedrohungsakteure zu generieren. Ein Teil des Plans bestand jedoch darin, dass die Opfer mehrmals zu bösartigen GitHub-Repositories umgeleitet wurden, um dort die Nutzlasten der ersten Stufe zu installieren.

Mitte Januar 2025 waren die entdeckten Nutzlasten der ersten Stufe mit einem neu erstellten Zertifikat digital signiert, so Microsoft. Insgesamt wurden zwölf verschiedene Zertifikate identifiziert, die alle widerrufen wurden.

Anschließend wurden Dateien der zweiten Stufe verwendet, um herauszufinden, was sich auf den PCs der Opfer befand, und um Systeminformationen zu extrahieren. Die Malware könnte Lumma Stealer und Doenerium enthalten haben. Je nach Nutzlast der zweiten Stufe wurden verschiedene Nutzlasten der dritten Stufe eingesetzt, um zusätzliche Dateien herunterzuladen und Daten zu stehlen.

Je nach anfänglicher Nutzlast wurde neben dem Infostealer auch häufig NetSupport, ein Programm zur Fernüberwachung und -verwaltung (RMM), eingesetzt. Neben den Informationsdieben wurden auf dem Host PowerShell-, JavaScript-, VBScript- und AutoIT-Skripte ausgeführt. Die Angreifer verwendeten "Living-off-the-land"-Binärdateien und -Skripte (LOLBAS) wie PowerShell.exe, MSBuilt.exe und RegAsm.exe, um eine Verbindung zu Command-and-Control-Servern (C2) herzustellen und Benutzerdaten und Browser-Anmeldeinformationen zu exfiltrieren.
Zu den Abwehrempfehlungen von Microsoft gehören die Stärkung der Geräteerkennung, insbesondere zur Blockierung schädlicher Artefakte, und die obligatorische Verwendung der Multifaktor-Authentifizierung für Anmeldungen.

Schulungen zur Sensibilisierung für Sicherheit sind von entscheidender Bedeutung

Damit sie wirksam sind, müssen alle Programme zur Sensibilisierung für Sicherheit und Schulungen die Art und Weise, wie Menschen in einer Organisation wirklich mit Sicherheit umgehen, erkennen und darauf zugeschnitten sein, um eine positive Sicherheitskultur zu schaffen, so das britische National Cybersecurity Centre.

Es gibt kostenlose Ressourcen, die Organisationen beim Aufbau eines Lernprogramms für Cybersicherheit und Datenschutz unterstützen. So enthält beispielsweise der neueste Leitfaden des US-amerikanischen National Institute for Standards and Technology (NIST) zu diesem Thema eine 87-seitige Übersicht, in der darauf hingewiesen wird, dass ein Plan Erfolgsindikatoren wie die Fähigkeit der Mitarbeiter, potenzielle Cybersicherheitsereignisse zu erkennen und zu melden, und Verhaltensänderungen der Mitarbeiter sowie Feedback im Laufe des Jahres umfassen muss.