Cyberkriminelle haben eine Möglichkeit gefunden, gängige und für IT-Sicherheitsprodukte unverdächtige Google-Dienste zu nutzen, um ihre Attacken zu verschleiern. Entdeckt wurde das Verfahren durch Experten der IT-Sicherheitsfirma Forcepoint bei der Untersuchung eines RTF-Dokuments. Es enthielt ein verschlüsseltes Visual Basic Script (VBScript). Diese Malware erlaubt es, Google-Services als Kommando- und Kontroll-Infrastruktur (Command and Control, C&C) zu nutzen. Forcepoint hat Google über den Missbrauch dieser Dienste informiert.
Die Sicherheitsforscher von Forcepoint ordnen diese neue Angriffsmethode der Carbanak-Gruppe zu. Die hatte in der Vergangenheit von sich reden gemacht, weil sie ebenfalls mit besonders ausgefallenen und ausgeklügelten Methoden Banken erfolgreich angegriffen und sich wahrscheinlich auch Zugang zu einem Anbieter von Kassensystemen verschafft hatte. Die wahrscheinlich seit 2013 aktive Gruppe erhielt ihren Namen durch die gleichnamige Malware, die bei dem Angriff auf Banken verwendet wurde. Kaspersky schätzte Anfang 2015, dass die Cyberkriminellen bis dahin bei mehr als 100 Banken in 30 Ländern insgesamt mindestens 300 Millionen Dollar erbeuten konnten.
Mit der jetzt von Forcepoint entdeckten VBScript-Malware setzt die Carbanak-Gruppe Googles Services als unverdächtigen C&C-Kanal ein. Das Script “ggldr” kommuniziert laut Forcepoint mit den Google-Diensten Apps Script, Google Forms und Google Tabellen, um von dort Befehle zu erhalten. Für jeden infizierten Nutzer wird dynamisch eine eigene Google-Tabelle erstellt. Anfragen nach einer Google-Apps-Script-URL dienen dazu, eine eindeutige Google-Form-ID für jedes Opfer zu generieren.
Die Angreifer können ihre Aktivitäten durch die Nutzung der Google-Dienste unverdächtiger aussehen lassen, als wenn sie wie bisher meist üblich dafür etwa neu geschaffene Domains oder Domains ohne Reputation nutzen. Die werden von vielen Sicherheitsprodukten kritisch beäugt und oft automatisch blockiert.
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
“Es ist unwahrscheinlich, dass diese gehosteten Google-Services in einer Organisation standardmäßig blockiert werden”, erklären die Forcepoint-Forscher. “Daher ist es wahrscheinlicher, dass der Angreifer erfolgreich einen C&C-Kanal einrichten kann.” Dafür Googles öffentliche Angebote zu nutzen, biete bessere Erfolgschancen.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
