Ransomware
Zugangsklau via WhatsApp
Über WhatsApp kommen jetzt Nachrichten mit einer bösartigen zip-Datei, deren Malware die Nachricht weiter verteilt. Über die „Access-as-a-Service“-Methode, wollen die Täter wohl Zugänge sammeln, um sie weiter zu verkaufen. Wie kann man sich schützen?
Save to Folio
Cyberkriminelle in Brasilien verteilen über den Messenger Nachrichten mit dem Hinweis, dass das enthaltene ZIP-File auf einem Desktop geöffnet werden müsse. Tun die Opfer dies, so werden Powershell-Kommandos ausgelöst, die einerseits eine Verbindung zu den Servern der Kriminellen aufbauen und zum anderen die gleiche Nachricht an alle Benutzer in der Kontaktliste versenden.
„…nach Ausführung versendet sich der Code an alle auf dem Gerät gespeicherten Kontakte.“ – Das klingt doch vertraut! Vor rund 25 Jahren sorgte der so genannte „Lovebug“ für einen weltweiten „Stau“ auf E-Mail-Servern. Ein VBS-Script infizierte das System und sorgte dafür, dass sich der Computerwurm selbstständig verbreitete.
Das Besondere an dieser Kategorie Malware ist, dass sie in der Regel von einer vertrauten Quelle kommt, nämlich einem Menschen, mit dem man mitunter häufiger WhatsApp-Nachrichten austauscht.
Die beobachtete Kampagne ist aktuell nur in Brasilien aktiv – trifft deutsche User also zunächst nicht. Das Verhalten kann aber jederzeit repliziert oder internationalisiert werden. Wer zudem mit brasilianischen Kollegen in Kontakt steht, kann durchaus selbst eine solche Nachricht erhalten. Darüber hinaus ist WhatsApp als Übertragungsmethode für Malware nicht besonders bekannt. Viele Nutzer dürften einer solchen Nachricht deshalb mit weniger Vorsicht begegnen als einer ähnlichen per Mail verschickten Botschaft.
Was ist die Absicht?
Weil vor allem Windows-Betriebssysteme im Fokus der Täter stehen, gehen die Experten davon aus, dass die Akteure darauf aus sind, Unternehmen zu infizieren. Auch wenn WhatsApp eher ein Consumer-Tool ist, nutzen viele Organisationen (offiziell oder nicht) den Messenger, um intern oder mit Kunden in Kontakt zu bleiben.
Die beobachtete Angriffsmethode wird als so genanntes „Access-as-a-Service“ eingestuft, bei der die Täter lediglich die Maschinen infizieren, um die so gelegten Zugänge an andere Kriminelle zu verkaufen. Abhängig von den vorliegenden Optionen werden anschließend unterschiedliche cyberkriminelle Aktivitäten durchgeführt.
Auch bei WhatsApp-Nachrichten aufmerksam bleiben
- Was für E-Mails gilt, gilt auch für WhatsApp – Vertrauen ist gut, Vorsicht ist besser! Dateien und Links sollten immer argwöhnisch betrachtet werden. Klingt die Nachricht sehr generisch, lohnt sich auch mal eine Nachfrage. Besondere Vorsicht ist angebracht, wenn eine Datei angeblich nur auf einem bestimmten Betriebssystem funktionieren kann, wie hier Windows.
- Schalten Sie die Funktion des automatischen Downloads in WhatsApp aus. So verhindern Sie, dass Sie aus Versehen etwas aktivieren.
- Administratoren können bei Firmeneigentum auch die File-Übertragung in Applikationen wie WhatsApp technisch mittels Firewalls oder Endpoint-Sicherheitslösungen untersagen. Wird BYOD erlaubt, bietet es sich nicht nur aus diesem Grund an, eine Container-Lösung für Unternehmensdaten zu verwenden.
- Gerade weil viele Nutzer Malware eher als ein E-Mail-Problem sehen, sollten auch alternative Übertragungsmedien in Schulungen angesprochen werden. Zwar werden diese in Malware-Kampagnen wesentlich seltener verwendet – aber genau das macht sie so unberechenbar: Weil Mitarbeiter im Zweifel eben gar nicht daran denken, dass auch so eine Infektion geschehen könnte.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.