Zusammenfassung der menschlichen Risiken: Wenn der Browser zum Köder wird

In dieser Ausgabe des Human Risk Roundup gehen wir der Frage nach, wie sich Angreifer auf gehärtete technische Verteidigungssysteme einstellen, indem sie ihr Augenmerk auf menschliches Verhalten richten. Eine neue Phishing-Technik mit dem Namen FileFix 2.0 zeigt, wie etwas so Gewöhnliches wie das Speichern einer Datei in Ihrem Browser manipuliert werden kann, um Malware zu installieren - eine Exploit-Kette ist nicht erforderlich. Außerdem verdoppeln die Betreiber von Ransomware die Zahl der hochrangigen Ziele und sensiblen persönlichen Daten, um die Wirkung zu maximieren. Und neue Daten zeigen einen breiteren Trend: Da es immer schwieriger wird, Browser direkt auszunutzen, nutzen Angreifer sie stattdessen zunehmend als Weg, um Benutzer zu manipulieren. Lesen Sie weiter, um die neuesten Taktiken kennenzulernen und zu erfahren, was Sicherheitsverantwortliche wissen müssen, um mit menschlichen Risiken umzugehen. 

FileFix 2.0: Eine neue Phishing-Taktik nutzt das Browserverhalten aus 

Ein neu entdeckter Phishing-Angriffsvektor, der von dem Sicherheitsforscher mr.d0x als FileFix 2.0 bezeichnet wird, manipuliert die Art und Weise, wie moderne Browser HTML-Dateien speichern, um wichtige Sicherheitsmechanismen zu umgehen und Benutzer zum Herunterladen bösartiger Inhalte zu verleiten. Diese Technik baut auf der bereits bekannten ClickFix-Methode auf, bei der Social Engineering eingesetzt wird, um das Vertrauen der Benutzer und das Verhalten des Browsers auszunutzen, so dass die Angreifer malware durch phishing-Angriffe mit einem einzigen Klick einschleusen können. 

Was passiert 

Cyberkriminelle richten gefälschte Websites ein, die vertrauenswürdige Plattformen wie Google oder Microsoft imitieren, komplett mit realistischen Anweisungen und nummerierten Codes, um Vertrauen aufzubauen. Diese Websites fordern die Benutzer auf, die "Backup-Codes" mit "Strg+S" auf ihren Geräten zu speichern und die Datei mit der Erweiterung ".hta" zu benennen. 

In dem Glauben, wichtige Sicherheitsinformationen sicher zu speichern, laden Benutzer unwissentlich eine bösartige Datei herunter, die schädliche Befehle auf ihrem Computer ausführen kann. Um die Datei als legitim erscheinen zu lassen, manipulieren die Angreifer ihren Namen oder verbergen kritische Details, wie die Dateierweiterung, um keinen Verdacht zu erregen. 

Dieser Angriff nutzt auch eine Eigenart des Browsers aus, die eine wichtige Windows-Sicherheitsfunktion namens Mark of the Web (MOTW) überspringt. Ohne diese Schutzmaßnahme kann die bösartige Datei ausgeführt werden, ohne Warnungen auszulösen, so dass sie sowohl den Benutzern als auch den Sicherheitssystemen sicher erscheint. 

Warum es wichtig ist 

Dieser Angriff zeigt, wie Angreifer das Verhalten von Browsern und das Vertrauen der Benutzer ausnutzen, um traditionelle Sicherheitsmechanismen zu umgehen. Indem sie das Fehlen von MoTW-Metadaten ausnutzen und Dateierweiterungen manipulieren, können Angreifer malware ausliefern, ohne die üblichen Sicherheitswarnungen auszulösen. 

Die FileFix 2.0-Methode ist besonders gefährlich, weil sie technische Umgehung mit Social Engineering kombiniert, so dass sie sowohl für Benutzer als auch für automatisierte Abwehrsysteme schwerer zu entdecken ist. Das Potenzial für eine weit verbreitete Ausnutzung in Verbraucher- und Unternehmensumgebungen unterstreicht die Notwendigkeit eines proaktiven Schutzes. 

Praktische Tipps für Sicherheitsverantwortliche 

Verwenden Sie E-Mail- und web security Tools , um bösartige Anhänge zu blockieren, Links zu scannen und schädliche Inhalte zu entfernen, um phishing- und malware-Bedrohungen zu stoppen. 

Klären Sie die Benutzer mit Sensibilisierungstrainings auf, damit sie lernen, wie sie Phishing-Versuche erkennen können. 

Nutzen Sie die Bedrohungserkennung, um bösartige Dateien oder Links zu identifizieren und zu blockieren, bevor sie den Benutzer erreichen. 

Überwachen Sie verdächtige Aktivitäten in Echtzeit, um Phishing- oder Malware-Kampagnen schnell zu erkennen und darauf zu reagieren. 

Lesen Sie mehr in Bleeping Computer.

AnhaltenderAnstieg von Ransomware offenbart neues Spielbuch

Kriminelle nutzen Ransomware-as-a-Service (RaaS), um ihre Operationen zu skalieren und mehr Organisationen anzugreifen, um Geld im Austausch für Geiseldaten zu verlangen. Die jüngsten Vorfälle, in die die Schweizer Regierung und Optima Tax Relief verwickelt waren, zeigen auch, dass bösartige Akteure zunehmend auf Drittanbieter und hochwertige Daten abzielen, um ihre Wirkung zu maximieren.  

Was geschah 

In der Schweiz hatte es die Sarcoma-Ransomware-Bande auf Radix abgesehen, eine Drittorganisation, die Gesundheitsprogramme und Online-Beratungsdienste für die Regierung verwaltet. Die Angreifer stahlen über 1,3 Terabyte an Daten, darunter Finanzdaten, Verträge und Kommunikationsdaten, und veröffentlichten sie im Dark Web, nachdem Lösegeldverhandlungen gescheitert waren. Die internen Systeme der Schweizer Regierung wurden zwar nicht angegriffen, aber Plattformen wie SafeZone und StopSmoking, die anonyme Beratung anbieten, waren wahrscheinlich betroffen, was Bedenken hinsichtlich des Datenschutzes und der Preisgabe sensibler persönlicher Daten aufkommen ließ. 

Ein weiterer kürzlich erfolgter Angriff auf Optima Tax Relief durch die Ransomware-Gruppe Chaos führte ebenfalls zum Verlust von persönlichen und Unternehmensdaten. Dieser Angriff folgt auf den angeblichen Einbruch von Chaos bei der Heilsarmee Anfang des Jahres. Berichten zufolge wenden sowohl Sarcoma als auch Chaos eine doppelte Erpressungstaktik an, indem sie Systeme verschlüsseln und gleichzeitig damit drohen, gestohlene Daten weiterzugeben, um die Opfer zur Zahlung zu zwingen. 

Warum es wichtig ist 

Die Vorfälle zeigen, dass sich die Taktiken und Ziele der Ransomware-Banden weiterentwickelt haben. Verbrecherbanden wie Sarcoma und Chaos haben es auf Organisationen abgesehen, die hochsensible, oft unveränderliche Daten speichern, wie z. B. Regierungsunterlagen und persönliche Beratungsdateien, was die Erpressungsversuche effektiver macht. Doppelte Erpressung ist mittlerweile Standard, wobei gestohlene Daten öffentlich bekannt gemacht werden, um den Druck auf die Opfer zu erhöhen. Social-Engineering-Taktiken werden häufig als erster Einstiegspunkt genutzt, um das Vertrauen der Menschen auszunutzen und den Weg für diese ausgeklügelten Angriffe zu ebnen.  

Praktische Tipps für Sicherheitsverantwortliche  

• Verwenden Sie E-Mail- und web security-Tools, um bösartige Anhänge zu blockieren, Links zu scannen und schädliche Inhalte zu entfernen, um phishing- und malware-Bedrohungen zu stoppen. 

• Klären Sie die Benutzer mit Sensibilisierungstrainings auf, damit sie Phishing-Versuche erkennen und riskante Verhaltensweisen vermeiden können. 

• Nutzen Sie URL-Rewriting und Scanning , um Links zum Zeitpunkt des Klicks zu analysieren und bösartige URLs zu blockieren, selbst bei verzögerten oder zeitkritischen Angriffen. 

• Aktivieren Sie den Anti-Phishing- und Imitationsschutz, um E-Mails, die vertrauenswürdige Marken oder Personen imitieren, zu erkennen und zu blockieren und so das Risiko von Social Engineering zu verringern. 

Lesen Sie hier mehr über die Angriffe. 

Was Sie beachten sollten: Der Mensch ersetzt den Browser als neue Angriffsfläche 

Neue Berichte zeigen, dass traditionelle Browser-Exploits zwar zurückgehen, Angreifer aber zunehmend auf die Benutzer selbst abzielen und den Browser zum Ausgangspunkt für Täuschungen machen. Im Jahr 2024 begannen 70% der Angriffe mit einem Browser-Download, gegenüber 58% im Jahr zuvor. Anstatt Schwachstellen auszunutzen, kapern die Angreifer legitime Browserfunktionen und bringen die Benutzer dazu, bösartige Erweiterungen zu installieren oder betrügerische Apps über vertrauenswürdige Plattformen wie Google Chrome zu autorisieren. Wie Dark Reading berichtet, geht es nicht mehr darum, die Software zu knacken, sondern darum, das Vertrauen der Benutzer zu brechen. Mit der Zunahme der Fernarbeit und der Abhängigkeit von der Cloud ist der Benutzer zur neuen Angriffsfläche geworden. Daher ist es von entscheidender Bedeutung, der Aufklärung der Benutzer, der Bewusstseinsbildung und der proaktiven Verteidigung Priorität einzuräumen, um diesen sich entwickelnden Bedrohungen einen Schritt voraus zu sein. Human Risk Management ist jetzt ein Eckpfeiler der Cybersicherheit, der sich darauf konzentriert, die Benutzer mit dem Wissen und den Werkzeugen auszustatten, um diese sich entwickelnden Bedrohungen zu erkennen und abzuwehren.

                                                             Lesen Sie die ganze Geschichte in Dark Reading.