Landesregierung Baden-Württemberg

Gefälschte Webseite verteilt Trojaner

Cyberangreifer nutzen eine gefälschte Webseite der Landesregierung Baden-Württemberg, um Trojaner zu verteilen. So erkennen Sie die Fälschung.
Von 
CSO | 17. Mai 2022 12:00 Uhr
Wer sich über den Ukraine-Krieg informieren will, sollte misstrauisch sein, um nicht ausversehen einen Trojaner herunterzuladen.
Wer sich über den Ukraine-Krieg informieren will, sollte misstrauisch sein, um nicht ausversehen einen Trojaner herunterzuladen.
Foto: Pheelings media - shutterstock.com

Der Krieg gegen die Ukraine hat weltweite Auswirkungen, was viele Sorgen verursacht. Informationen über das akuelle Geschehen holen sich die meisten Menschen online. In diesem Zusammenhang hat das Threat Intelligence Team von Malwarebytes eine Kampagne entdeckt, die dieses Bedürfnis nach Informationen ausnutzt: Hacker geben vor, Updates zur aktuellen Bedrohungslage in der Ukraine bereitzustellen. Im Anschluss versuchen sie dann Recherchierende dazu zu bringen, ein infiziertes Dokument herunterzuladen. Dieses enthält nämlich einen Remote Access Trojaner (RAT), der Daten stehlen und bösartige Aktionen auf dem Computer des Opfers ausführen kann.

Lesetipp: Neue Malware versteckt sich hinter Covid-19-Informationen

Gefälschte Webseite der Landesregierung Baden-Württemberg

Als Köder dient den Cyberkriminellen die Webseite der Landesregierung Baden-Württemberg. So haben sie den abgelaufenen deutschen Domainnamen collaboration-bw[.]de registriert, der ursprünglich als offizielle Kollaborationsplattform zur Entwicklung neuer Ideen und Initiativen für das Bundesland genutzt wurde.

Die gefälschte Webseite sieht genauso aus wie das Original und enthält ein Dokument, das Informationen über die aktuelle Lage in der Ukraine verspricht. Stattdessen lädt das Dokument jedoch einen Trojaner, der Informationen über den Computer seines Opfers sammelt.

Die falsche Webseite erkennen

Da die gefälschte Webseite der echten zum Verwechseln ähnlich sieht, müssen Sie auf kleine Details achten, um beide zu unterscheiden:

  • Beim Original steht links unter dem baden-württembergischen Wappen "Baden-Württemberg.de". Auf der gefälschten Seite steht unter dem Wappen "Landesbeteiligungen Baden-Württemberg".

  • Die URL des Originals lautet "baden-württemberg.de/de/startseite/". Die der Fälschung lautet "collaboration-bw.de/bedrohung-ukr-download.html". Die gefälschte Seite sollten Sie auf keinen Fall öffnen, da sie immer noch aktiv ist und direkt das bösartige File beim Aufrufen der Seite lädt.

  • Der Fälschung fehlen rechts oben die Buttons "Enter the Länd" und "Beteiligungsportal".

Trojaner zum Herunterladen

Benannt wurde die zum Download angebotene Datei mit "2022-Q2-Bedrohungslage-Ukraine". Sie enthält eine Datei im CHM-Format mit dem gleichen Namen. Dabei handelt es sich um eine Datei von Microsoft, die wiederum eine Reihe von komprimierten HTML-Dateien enthält.

Öffnet ein Webseiten-Besucher die Datei, erhält er eine ebenfalls gefälschte Fehlermeldung, die besagt, dass das Dokument nicht heruntergeladen werden konnte. Währenddessen führt das Framework PowerShell unbemerkt den Base64-Befehl aus. Dieser ist ein Codierungsprozess, der eigentlich dafür verwendet wird um Übertragungsprobleme zu vermeiden. Hier haben die Hacker Base64 verwendet, um den Schadcode zu codieren und somit zu verstecken.

Nachdem das Team von Malwarebytes den Code entschlüsselt hatte, untersuchten sie den Befehl genauer. Base64 dient dazu, ein Skript auszuführen, das im Benutzerverzeichnis einen Ordner namens "SecurityHealthService" erstellt. Dort legt der Befehl zwei Dateien ab: "MonitorHealth.cmd" und "Status.txt".

RAT stiehlt Daten

Bei Status.txt handelt es sich Malwarebytes zufolge um einen RAT, der in PowerShell geschrieben wurde. Der Trojaner sammelt Informationen über den Computer des Opfers, wie den Benutzernamen, das Arbeitsverzeichnis oder den Hostname.

Zudem erstellt der RAT eine eindeutige ID für sein Opfer, die "clientid". Alle Daten werden als JSON-Datenstruktur exfiltriert und über eine POST-Anfrage an den Server gesendet.

Der RAT kann folgende Funktionen ausführen:

  • Herunterladen von Dateien vom Server

  • Hochladen von Dateien auf den Server

  • Laden und Ausführen eines PowerShell-Skriptes

  • Ausführen eines bestimmten Befehls

Den Analysten zufolge wurde der Cyberangriff sorgfältig geplant und ausgeführt. Um möglichst unauffällig zu bleiben, haben die Angreifer dafür gesorgt, dass die gestohlenen Informationen an den deutschen Domainnamen "kleinm[.]de" gesendet werden.

Bisher konnte das Malwarebytes-Team den Angriff keinem Akteur zuordnen. Aufgrund der Informationen über den Ukraine-Krieg als Köder vermuten die Analysten russische Hacker.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.