Landesregierung Baden-Württemberg
Gefälschte Webseite verteilt Trojaner
Foto: Pheelings media - shutterstock.com
Der Krieg gegen die Ukraine hat weltweite Auswirkungen, was viele Sorgen verursacht. Informationen über das akuelle Geschehen holen sich die meisten Menschen online. In diesem Zusammenhang hat das Threat Intelligence Team von Malwarebytes eine Kampagne entdeckt, die dieses Bedürfnis nach Informationen ausnutzt: Hacker geben vor, Updates zur aktuellen Bedrohungslage in der Ukraine bereitzustellen. Im Anschluss versuchen sie dann Recherchierende dazu zu bringen, ein infiziertes Dokument herunterzuladen. Dieses enthält nämlich einen Remote Access Trojaner (RAT), der Daten stehlen und bösartige Aktionen auf dem Computer des Opfers ausführen kann.
Lesetipp: Neue Malware versteckt sich hinter Covid-19-Informationen
Gefälschte Webseite der Landesregierung Baden-Württemberg
Als Köder dient den Cyberkriminellen die Webseite der Landesregierung Baden-Württemberg. So haben sie den abgelaufenen deutschen Domainnamen collaboration-bw[.]de registriert, der ursprünglich als offizielle Kollaborationsplattform zur Entwicklung neuer Ideen und Initiativen für das Bundesland genutzt wurde.
Die gefälschte Webseite sieht genauso aus wie das Original und enthält ein Dokument, das Informationen über die aktuelle Lage in der Ukraine verspricht. Stattdessen lädt das Dokument jedoch einen Trojaner, der Informationen über den Computer seines Opfers sammelt.
- So haben die Hacker die gefälschte Seite erstellt
Um die gefälschte Seite online zu stellen, nutzten die Hacker einen abgelaufenen deutschen Domainnamen unter collaboration-bw[.]de. - Die Fälschung sieht genauso aus wie das Original
Die Bedrohungsakteure nutzen die Domain, um eine Webseite zu hosten, die wie die offizielle Webseite der Landesregierung Baden-Württemberg (baden-wuerttemberg.de) aussieht. - Über den blauen Button sollen sich die Besucher einen Trojaner laden
Auf der Webseite bieten sie den Besuchern den Download eines Dokuments mit vermeintlichen Informationen zum Ukraine-Krieg an. - Der Trojaner führt unbemerkt Befehle aus
Doch die Datei enthält eine Datei mit dem Namen „2022-Q2-Bedrohungslage-Ukraine.chm“. Sobald die Opfer diese Datei öffnen, erhalten sie eine gefälschte Fehlermeldung. Währenddessen führt PowerShell unbemerkt einen Base64-Befehl aus. - PowerShell RAT sammelt Informationen über die Opfer
Das heruntergeladene Skript erstellt im aktuellen Benutzerverzeichnis schließlich einen Ordner namens „SecuriyHealthService“ und legt dort zwei Dateien ab, die Informationen sammeln. - Die Daten gehen an einen deutschen Command and Control Server
Die Kriminellen haben sichergestellt, dass die gestohlenen Daten an einen deutschen Domainnamen (kleinm[.]de) gesendet werden, um keinen Verdacht zu erregen.
Die falsche Webseite erkennen
Da die gefälschte Webseite der echten zum Verwechseln ähnlich sieht, müssen Sie auf kleine Details achten, um beide zu unterscheiden:
Beim Original steht links unter dem baden-württembergischen Wappen "Baden-Württemberg.de". Auf der gefälschten Seite steht unter dem Wappen "Landesbeteiligungen Baden-Württemberg".
Die URL des Originals lautet "baden-württemberg.de/de/startseite/". Die der Fälschung lautet "collaboration-bw.de/bedrohung-ukr-download.html". Die gefälschte Seite sollten Sie auf keinen Fall öffnen, da sie immer noch aktiv ist und direkt das bösartige File beim Aufrufen der Seite lädt.
Der Fälschung fehlen rechts oben die Buttons "Enter the Länd" und "Beteiligungsportal".
Trojaner zum Herunterladen
Benannt wurde die zum Download angebotene Datei mit "2022-Q2-Bedrohungslage-Ukraine". Sie enthält eine Datei im CHM-Format mit dem gleichen Namen. Dabei handelt es sich um eine Datei von Microsoft, die wiederum eine Reihe von komprimierten HTML-Dateien enthält.
Öffnet ein Webseiten-Besucher die Datei, erhält er eine ebenfalls gefälschte Fehlermeldung, die besagt, dass das Dokument nicht heruntergeladen werden konnte. Währenddessen führt das Framework PowerShell unbemerkt den Base64-Befehl aus. Dieser ist ein Codierungsprozess, der eigentlich dafür verwendet wird um Übertragungsprobleme zu vermeiden. Hier haben die Hacker Base64 verwendet, um den Schadcode zu codieren und somit zu verstecken.
Nachdem das Team von Malwarebytes den Code entschlüsselt hatte, untersuchten sie den Befehl genauer. Base64 dient dazu, ein Skript auszuführen, das im Benutzerverzeichnis einen Ordner namens "SecurityHealthService" erstellt. Dort legt der Befehl zwei Dateien ab: "MonitorHealth.cmd" und "Status.txt".
RAT stiehlt Daten
Bei Status.txt handelt es sich Malwarebytes zufolge um einen RAT, der in PowerShell geschrieben wurde. Der Trojaner sammelt Informationen über den Computer des Opfers, wie den Benutzernamen, das Arbeitsverzeichnis oder den Hostname.
Zudem erstellt der RAT eine eindeutige ID für sein Opfer, die "clientid". Alle Daten werden als JSON-Datenstruktur exfiltriert und über eine POST-Anfrage an den Server gesendet.
Der RAT kann folgende Funktionen ausführen:
Herunterladen von Dateien vom Server
Hochladen von Dateien auf den Server
Laden und Ausführen eines PowerShell-Skriptes
Ausführen eines bestimmten Befehls
Den Analysten zufolge wurde der Cyberangriff sorgfältig geplant und ausgeführt. Um möglichst unauffällig zu bleiben, haben die Angreifer dafür gesorgt, dass die gestohlenen Informationen an den deutschen Domainnamen "kleinm[.]de" gesendet werden.
Bisher konnte das Malwarebytes-Team den Angriff keinem Akteur zuordnen. Aufgrund der Informationen über den Ukraine-Krieg als Köder vermuten die Analysten russische Hacker.