Cyberkriminelle kommunizieren über Instagram-Kommentare mit Kontrollservern

IT-Sicherheitsanbieter Eset hat auf eine ausgefeilte Technik der Cyberspionage-Gruppe “Turla” hingewiesen. Sie nutzt mittels einer Firefox-Erweiterung Kurz-URLs in Kommentaren bei Instagram zur Übermittlung von Befehlen zwischen dem Rechner des Opfers und den Command&-Control-Servern der Gruppe. Das Verfahren ist zwar aufwändig und bislang auf gezielte Attacken beschränkt, ließe sich aber theoretisch auch von anderen Kriminellen adaptieren und könnten denen dann helfen, Sicherheitsmechanismen zu umgehen.

Üblicherweise beginnt der Angriff der Cyberspionage-Gruppe Turla mit einer sogenannten „Watering-Hole-Attacke“, also der Kompromittierung einer Webseite, die von den anvisierten Opfern voraussichtlich aufgerufen wird. Bei der Untersuchung aktueller Spionagekampagnen fiel den Forschern von Eset eine so verbreitete gefährliche Firefox-Erweiterung auf, auf die erst kürzlich Bitdefender hingewiesen hatte (PDF).

Diese Erweiterung nutzt eine bit.ly-Kurz-URL, um Kontakt zum C&C-Server herzustellen. Dieser URL-Pfad wird über die Kommentarfunktion von Instagram Posts verbreitet. Dazu bedienen sich die Angreifer nicht irgendwelcher selbst erstellter und möglicherwiese verdächtiger Nutzerkonten, sondern posten die Kommentare mit der für ihre Zwecke manipulierten Kurz-URL bei populären und viel besuchten Accounts, beispielsweise dem von Britney Spears.

Um an die bit.ly-URL zu gelangen, durchsucht die Erweiterung Instagram-Kommentare, berechnet einen Hashwert und zieht, sofern der mit den von den Hintermännern festgelegtem Hashwert übereinstimmt, den URL-Pfad aus dem Kommentar. Durch die Verwendung von stark frequentierten Instagram-Accounts mit zahlreichen Kommentaren, in denen der der Kriminellen untergeht erschwert es, die Spuren nachzuvollziehen.

Der Kommentar mit der von den Cyberspionen genutzten Kurz-URL beim Instagram-Konto von Britney Spears (Screenshot: ESET)

Im untersuchten Fall wurde der Kommentar am 6. Februar veröffentlicht, das Foto zu dem er abgegeben wurde, wurde bereits Anfang Januar veröffentlicht. Damit und angesichts der Vielzahl der Kommentare bei diesen Konten ist wenig wahrscheinlich, dass der Kontobesitzer darauf reagiert oder den Kommentar löscht. So schaffen sich die Hintermänner einerseits in aller Öffentlichkeit, andererseits jedoch gut versteckt eine Art “stillen Briefkasten”.

Mehr zum Thema

Sicherheitsrisiken in öffentlichen WLANs vermeiden

Mit einigen Schritten und kostenlosen Tools können sich Anwender effizient vor Angriffen in unsicheren WLANs schützen und Notebook, Smartphone und Tablets absichern. Die Kollegen der silicon.de-Schwestersite ZDNet.de erklären in ihrem Beitrag, wie das funktioniert.

“Mit dieser Taktik lässt sich böswilliger von normalem Traffic in Social-Media-Kanälen kaum noch unterscheiden”, erklärt Jean-Ian Boutin, Senior Malware Researcher bei Eset. “Da die Informationen für die Command-and-Control-URL in einfachen Kommentaren versteckt sind, hat der Angreifer die Möglichkeit, diese einfach zu ändern oder komplett zu löschen.”

Zur Vorbeugung empfehlen die Eset-Forscher, Browser und Erweiterungen aktuell zu halten. Zudem sollten Nutzer Erweiterungen und Add-ons nur aus seriösen Quellen installieren und eine aktuelle Cybersecurity-Software verwenden, die verdächtige Webseiten, die möglicherweise schädliche Inhalte verbreiten, erkennen und Nutzer davor warnen können.

[mit Material von Anja Schmoll-Trautmann, ZDNet.de]

Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

10 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

15 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

16 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago