Cyberkriminelle kommunizieren über Instagram-Kommentare mit Kontrollservern
IT-Sicherheitsanbieter Eset hat auf eine ausgefeilte Technik der Cyberspionage-Gruppe “Turla” hingewiesen. Sie nutzt mittels einer Firefox-Erweiterung Kurz-URLs in Kommentaren bei Instagram zur Übermittlung von Befehlen zwischen dem Rechner des Opfers und den Command&-Control-Servern der Gruppe. Das Verfahren ist zwar aufwändig und bislang auf gezielte Attacken beschränkt, ließe sich aber theoretisch auch von anderen Kriminellen adaptieren und könnten denen dann helfen, Sicherheitsmechanismen zu umgehen.
Üblicherweise beginnt der Angriff der Cyberspionage-Gruppe Turla mit einer sogenannten „Watering-Hole-Attacke“, also der Kompromittierung einer Webseite, die von den anvisierten Opfern voraussichtlich aufgerufen wird. Bei der Untersuchung aktueller Spionagekampagnen fiel den Forschern von Eset eine so verbreitete gefährliche Firefox-Erweiterung auf, auf die erst kürzlich Bitdefender hingewiesen hatte (PDF).
Diese Erweiterung nutzt eine bit.ly-Kurz-URL, um Kontakt zum C&C-Server herzustellen. Dieser URL-Pfad wird über die Kommentarfunktion von Instagram Posts verbreitet. Dazu bedienen sich die Angreifer nicht irgendwelcher selbst erstellter und möglicherwiese verdächtiger Nutzerkonten, sondern posten die Kommentare mit der für ihre Zwecke manipulierten Kurz-URL bei populären und viel besuchten Accounts, beispielsweise dem von Britney Spears.
Um an die bit.ly-URL zu gelangen, durchsucht die Erweiterung Instagram-Kommentare, berechnet einen Hashwert und zieht, sofern der mit den von den Hintermännern festgelegtem Hashwert übereinstimmt, den URL-Pfad aus dem Kommentar. Durch die Verwendung von stark frequentierten Instagram-Accounts mit zahlreichen Kommentaren, in denen der der Kriminellen untergeht erschwert es, die Spuren nachzuvollziehen.
Im untersuchten Fall wurde der Kommentar am 6. Februar veröffentlicht, das Foto zu dem er abgegeben wurde, wurde bereits Anfang Januar veröffentlicht. Damit und angesichts der Vielzahl der Kommentare bei diesen Konten ist wenig wahrscheinlich, dass der Kontobesitzer darauf reagiert oder den Kommentar löscht. So schaffen sich die Hintermänner einerseits in aller Öffentlichkeit, andererseits jedoch gut versteckt eine Art “stillen Briefkasten”.
Mit einigen Schritten und kostenlosen Tools können sich Anwender effizient vor Angriffen in unsicheren WLANs schützen und Notebook, Smartphone und Tablets absichern. Die Kollegen der silicon.de-Schwestersite ZDNet.de erklären in ihrem Beitrag, wie das funktioniert.
“Mit dieser Taktik lässt sich böswilliger von normalem Traffic in Social-Media-Kanälen kaum noch unterscheiden”, erklärt Jean-Ian Boutin, Senior Malware Researcher bei Eset. “Da die Informationen für die Command-and-Control-URL in einfachen Kommentaren versteckt sind, hat der Angreifer die Möglichkeit, diese einfach zu ändern oder komplett zu löschen.”
Zur Vorbeugung empfehlen die Eset-Forscher, Browser und Erweiterungen aktuell zu halten. Zudem sollten Nutzer Erweiterungen und Add-ons nur aus seriösen Quellen installieren und eine aktuelle Cybersecurity-Software verwenden, die verdächtige Webseiten, die möglicherweise schädliche Inhalte verbreiten, erkennen und Nutzer davor warnen können.
[mit Material von Anja Schmoll-Trautmann, ZDNet.de]