Cyberkriminelle kompromittieren Systeme über bereits gepatchte Zero-Day-Schwachstelle

Cyberkriminelle nutzen derzeit aktiv eine “Zero-Day-Schwachstelle” im Internet Explorer aus, um eine Monero-Miner Malware auf den Systemen der Anwender zu installieren – die Schwachstelle wurde bereits im Mai 2018 von Microsoft geschlossen!

Um die Monero-Malware großflächig zu verbreiten, setzen die Kriminellen diesmal nicht auf großangelegte Spam-Kampagnen. Vielmehr wird der Schadcode mittels RIG-Exploit-Kit auf von Kriminellen kompromittierten Webseiten hinterlegt. Ohne das Wissen der Webseitenbesitzer lauert auf deren Seiten Schadcode, der es mitunter auf alle Besucher mit veralteten und ungepatchten Systemen abgesehen hat.

Exploit-Kits können Opfer vielfältigen Bedrohungen aussetzen – vom Informationsdiebstahl und der Dateiverschlüsselung bis hin zum bösartigen Mining von Kryptowährungen. Regelmäßige Anwendung der neuesten Patches ist eine effektive Verteidigung.

Wie geht das Rig-Exploit-Kit vor?

Die Seamless-Kampagne von Rig verwendet Malvertisements mit einem versteckten Iframe, um Opfer auf die Zielseite von Rig umzuleiten.  Die entsprechende Seite enthält einen Exploit für CVE-2018-8174 und Shell-Code zusammen mit anderen Exploits. RIG versucht dann, die nicht geschlossene Internet Explorer-Schwachstelle auszunutzen und das Opfer mit der Smoke Loader (Malware-Dropper) zu infizieren. SmokeLoader ist ein Schädling, der in der Lage ist, zusätzlichen Schadcode herunterzuladen und auszuführen, in diesem Fall einen Monero Miner.

Bild: blog.trendmicro.com – Infektionskette

Sicherheitslücke wurde bereits geschlossen

Die Sicherheitslücke wurde als CVE-2018-8174 bezüglich der Remotecodeausführung identifiziert. Diese Sicherheitsanfälligkeit betrifft VBScript, das Visual Basic-Skriptmodul, das in Internet Explorer und Microsoft Office enthalten ist und wie entsprechende Objekte im Arbeitsspeicher verarbeitet werden. Wird entsprechender Fehler ausgenutzt, kann der Arbeitsspeicher so beschädigt werden, dass ein Angreifer im Kontext des aktuellen Benutzers, beliebigen Code auf dem System ausführen kann. Die Sicherheitsanfälligkeit betrifft alle Systeme, auf denen Windows 7 und aktuelle Betriebssysteme ausgeführt werden – bereits im Mai 2018 hat Microsoft im Rahmen seines monatlichen Patchdays entsprechende Sicherheitslücke geschlossen.

Die Sicherheitslücke wurde erstmals im April von Experten von Qihoo 360 bei einem gezielten Angriff entdeckt, bei dem in ein Word-Dokument der entsprechend bösartige Schadcode eingebettet wurde. Hierbei wurde der Angriff vermutlich von einer staatlich geförderte nordkoreanischen Hackergruppe gestartet.

Nach der Veröffentlichung der Sicherheitsupdates von Microsoft veröffentlichten die Forscher von Kaspersky und Malwarebytes detaillierte Analysen der Sicherheitslücke. Der Sicherheitsforscher Michael Gorelik hat ebenfalls einen Proof-of-Concept-Code auf Github veröffentlicht. Diese detaillierten technischen Berichte in Kombination mit dem PoC-Code haben sich jedoch auch für Cyberkriminelle als nützlich erwiesen.

Forscher des Sicherheitsforschungsinstituts Kaffeine und Trend Micro sagten, die Schwachstelle sei vom “RIG-Exploit-Kit” einverleibt worden und wird derzeit aktiv eingesetzt.

Jüngste Beweise deuten darauf hin, dass CVE-2018-8174 neben RIG von einer weltweit operierende Hacker-Gruppe Cobalt eingesetzt wird, die es vornehmlich auf den Banken- und den Finanzsektor abgesehen hat.

Tipps wie Sie das System absichern können

  1. Wichtiger denn je, machen Sie regelmäßig Backups von Ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem Sie das System immer up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Ändern Sie die Standardeinstellung von Windows, welche die Datei-Erweiterungen ausblendet>>
  6. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  7. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  8. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac.