CSO
Alternatives Drucklayout:
› reiner Text
Link: https://www.csoonline.com/de/a/gefaelschte-webseite-verteilt-trojaner,3673934

Landesregierung Baden-Württemberg

Gefälschte Webseite verteilt Trojaner

Datum:17.05.2022
Autor(en):Melanie Staudacher
Cyberangreifer nutzen eine gefälschte Webseite der Landesregierung Baden-Württemberg, um Trojaner zu verteilen. So erkennen Sie die Fälschung.

Wer sich über den Ukraine-Krieg informieren will, sollte misstrauisch sein, um nicht ausversehen einen Trojaner herunterzuladen.
Foto: Pheelings media - shutterstock.com

Der Krieg gegen die Ukraine hat weltweite Auswirkungen, was viele Sorgen verursacht. Informationen über das akuelle Geschehen holen sich die meisten Menschen online. In diesem Zusammenhang hat das Threat Intelligence Team von Malwarebytes1 eine Kampagne entdeckt, die dieses Bedürfnis nach Informationen ausnutzt: Hacker geben vor, Updates zur aktuellen Bedrohungslage in der Ukraine bereitzustellen. Im Anschluss versuchen sie dann Recherchierende dazu zu bringen, ein infiziertes Dokument herunterzuladen. Dieses enthält nämlich einen Remote Access Trojaner (RAT)2, der Daten stehlen und bösartige Aktionen auf dem Computer des Opfers ausführen kann.

Lesetipp: Neue Malware versteckt sich hinter Covid-19-Informationen3

Gefälschte Webseite der Landesregierung Baden-Württemberg

Als Köder dient den Cyberkriminellen die Webseite der Landesregierung Baden-Württemberg. So haben sie den abgelaufenen deutschen Domainnamen collaboration-bw[.]de registriert, der ursprünglich als offizielle Kollaborationsplattform zur Entwicklung neuer Ideen und Initiativen für das Bundesland genutzt wurde.

Die gefälschte Webseite sieht genauso aus wie das Original und enthält ein Dokument, das Informationen über die aktuelle Lage in der Ukraine verspricht. Stattdessen lädt das Dokument jedoch einen Trojaner4, der Informationen über den Computer seines Opfers sammelt.

[Hinweis auf Bildergalerie: Gefälschte Webseite der Landesregierung Baden-Württemberg] gal1

Die falsche Webseite erkennen

Da die gefälschte Webseite der echten zum Verwechseln ähnlich sieht, müssen Sie auf kleine Details achten, um beide zu unterscheiden:

  • Beim Original steht links unter dem baden-württembergischen Wappen "Baden-Württemberg.de". Auf der gefälschten Seite steht unter dem Wappen "Landesbeteiligungen Baden-Württemberg".

  • Die URL des Originals lautet "baden-württemberg.de/de/startseite/". Die der Fälschung lautet "collaboration-bw.de/bedrohung-ukr-download.html". Die gefälschte Seite sollten Sie auf keinen Fall öffnen, da sie immer noch aktiv ist und direkt das bösartige File beim Aufrufen der Seite lädt.

  • Der Fälschung fehlen rechts oben die Buttons "Enter the Länd" und "Beteiligungsportal".

Trojaner zum Herunterladen

Benannt wurde die zum Download angebotene Datei mit "2022-Q2-Bedrohungslage-Ukraine". Sie enthält eine Datei im CHM-Format mit dem gleichen Namen. Dabei handelt es sich um eine Datei von Microsoft, die wiederum eine Reihe von komprimierten HTML-Dateien enthält.

Öffnet ein Webseiten-Besucher die Datei, erhält er eine ebenfalls gefälschte Fehlermeldung, die besagt, dass das Dokument nicht heruntergeladen werden konnte. Währenddessen führt das Framework PowerShell5 unbemerkt den Base64-Befehl aus. Dieser ist ein Codierungsprozess6, der eigentlich dafür verwendet wird um Übertragungsprobleme zu vermeiden. Hier haben die Hacker Base64 verwendet, um den Schadcode zu codieren und somit zu verstecken.

Nachdem das Team von Malwarebytes den Code entschlüsselt hatte, untersuchten sie den Befehl genauer. Base64 dient dazu, ein Skript auszuführen, das im Benutzerverzeichnis einen Ordner namens "SecurityHealthService" erstellt. Dort legt der Befehl zwei Dateien ab: "MonitorHealth.cmd" und "Status.txt".

RAT stiehlt Daten

Bei Status.txt handelt es sich Malwarebytes zufolge um einen RAT, der in PowerShell geschrieben wurde. Der Trojaner sammelt Informationen über den Computer des Opfers, wie den Benutzernamen, das Arbeitsverzeichnis oder den Hostname.

Zudem erstellt der RAT eine eindeutige ID für sein Opfer, die "clientid". Alle Daten werden als JSON-Datenstruktur exfiltriert und über eine POST-Anfrage7 an den Server gesendet.

Der RAT kann folgende Funktionen ausführen:

  • Herunterladen von Dateien vom Server

  • Hochladen von Dateien auf den Server

  • Laden und Ausführen eines PowerShell-Skriptes

  • Ausführen eines bestimmten Befehls

Den Analysten zufolge wurde der Cyberangriff sorgfältig geplant und ausgeführt. Um möglichst unauffällig zu bleiben, haben die Angreifer dafür gesorgt, dass die gestohlenen Informationen an den deutschen Domainnamen "kleinm[.]de" gesendet werden.

Bisher konnte das Malwarebytes-Team den Angriff keinem Akteur zuordnen. Aufgrund der Informationen über den Ukraine-Krieg als Köder vermuten die Analysten russische Hacker8.

Links im Artikel:

1 https://blog.malwarebytes.com/threat-intelligence/2022/05/custom-powershell-rat-targets-germans-seeking-information-about-the-ukraine-crisis/
2 https://www.logpoint.com/de/blog/der-remote-access-trojaner-rat-ein-legacy-produkt-zu-einem-fuer-angreifer-erschwinglichen-preis/
3 https://www.csoonline.com/de/a/neue-malware-versteckt-sich-hinter-covid-19-informationen,3673927
4 https://www.computerwoche.de/a/sind-ihre-systeme-unterwandert,3551495
5 https://www.computerwoche.de/a/powershell-7-profi-tricks-fuer-windows,3547138
6 https://www.computerwoche.de/a/die-besten-coding-sprachen-fuer-ki,3548859
7 https://www.ionos.de/digitalguide/hosting/hosting-technik/http-request-erklaert/
8 https://www.csoonline.com/de/a/russland-steckt-hinter-satelliten-hack-sagen-usa-und-eu,3673923

Bildergalerien im Artikel:

gal1 Gefälschte Webseite der Landesregierung Baden-Württemberg
So haben die Hacker die gefälschte Seite erstellt
Um die gefälschte Seite online zu stellen, nutzten die Hacker einen abgelaufenen deutschen Domainnamen unter collaboration-bw[.]de.
Foto: Malwarebytes
Die Fälschung sieht genauso aus wie das Original
Die Bedrohungsakteure nutzen die Domain, um eine Webseite zu hosten, die wie die offizielle Webseite der Landesregierung Baden-Württemberg (baden-wuerttemberg.de) aussieht.
Foto: Malwarebytes
Über den blauen Button sollen sich die Besucher einen Trojaner laden
Auf der Webseite bieten sie den Besuchern den Download eines Dokuments mit vermeintlichen Informationen zum Ukraine-Krieg an.
Foto: Malwarebytes
Der Trojaner führt unbemerkt Befehle aus
Doch die Datei enthält eine Datei mit dem Namen „2022-Q2-Bedrohungslage-Ukraine.chm“. Sobald die Opfer diese Datei öffnen, erhalten sie eine gefälschte Fehlermeldung. Währenddessen führt PowerShell unbemerkt einen Base64-Befehl aus.
Foto: Malwarebytes
PowerShell RAT sammelt Informationen über die Opfer
Das heruntergeladene Skript erstellt im aktuellen Benutzerverzeichnis schließlich einen Ordner namens „SecuriyHealthService“ und legt dort zwei Dateien ab, die Informationen sammeln.
Foto: Malwarebytes
Die Daten gehen an einen deutschen Command and Control Server
Die Kriminellen haben sichergestellt, dass die gestohlenen Daten an einen deutschen Domainnamen (kleinm[.]de) gesendet werden, um keinen Verdacht zu erregen.
Foto: Malwarebytes

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.