Hacker verbergen RMM-Installationen als gefälschte Chrome-Updates und Teams-Einladungen

Neue Forschungsergebnisse von Red Canary und Zscaler zeigen, dass Phishing-Köder mittlerweile RMM-Tools wie ITarian und Atera enthalten, die Angreifern Zugriff auf Administratorebene für Malware- und Ransomware-Kampagnen verschaffen.

Phishing-E-Mails waren früher leicht zu erkennen, da sie oft Tippfehler und eine seltsame Formatierung aufwiesen. Das ist heute nicht mehr der Fall. Neue Untersuchungen von Red Canary und Zscaler zeigen, wie überzeugend Angreifer mittlerweile sind: Sie locken Menschen mit gefälschten Chrome-Updates , bösartigen, aber echt aussehenden Teams- oder Zoom-Einladungen, Party-E-Cards und sogar Behördenformularen, die echt genug aussehen, um Mitarbeiter zu täuschen.

Laut Forschern unterscheiden sich diese Kampagnen von anderen durch den Einsatz von Remote Monitoring and Management (RMM)-Tools. Anstatt eine typische Malware auszuliefern, nutzen die Angreifer diese Köder nun, um RMM-Tools wie ITarian, PDQ, SimpleHelp und Atera zu installieren.

Zu Ihrer Information: Diese Programme werden von IT-Administratoren zur Systemwartung verwendet. Böswillige Bedrohungsakteure nutzen diese Tools nun jedoch, um dieselben Zugriffsrechte wie die Administratoren zu erhalten. Dadurch können sie zusätzliche Payloads installieren oder sogar Ransomware-Angriffe durchführen.

Bei der Betrachtung der Kampagnen selbst haben Red Canary und Zscaler vier Hauptköder dokumentiert. Der häufigste ist das gefälschte Browser-Update, bei dem kompromittierte Websites schädliches JavaScript einschleusen, das eine überzeugende Update-Aufforderung anzeigt.

Laut dem Blogbeitrag von Red Canary, der mit Hackread.com geteilt wurde, führte das Klicken auf „Chrome aktualisieren“ in einem Fall dazu, dass Benutzer ein signiertes ITarian-Installationsprogramm herunterluden, das später eine Kette bösartiger Aktivitäten auslöste.

Eine weitere von den Forschern beobachtete Taktik ist die Einladung zu Meetings, bei der gefälschte Teams- oder Zoom-Updates über Atera- oder PDQ-Tools bereitgestellt werden. Diese Installationsprogramme wurden sogar so benannt, dass sie zu den Originalanwendungen passten, beispielsweise „ MicrosoftTeams.msi “.

Forscher beobachteten außerdem Kampagnen mit Partyeinladungen, Hosting auf Plattformen wie Cloudflare R2 Storage und steuerrelevanten Regierungsformularen, die als IRS-Dokumente getarnte Installationsprogramme enthielten. In mehreren Fällen setzten Angreifer erfolgreich zwei verschiedene RMM-Tools ein und verschafften sich so Backup-Zugriff.

Alex Berninger, Senior Manager of Intelligence bei Red Canary, sagt, dass es beim Phishing nicht mehr darum geht, gebrochenes Englisch in einer E-Mail zu erkennen. „Die Angreifer verwenden mittlerweile raffinierte Köder wie gefälschte Browser-Updates, Meeting-Einladungen und sogar Behördenformulare, die kaum noch von echten zu unterscheiden sind“, erklärt er.

Er betonte, dass Schulungen zwar hilfreich seien, es aber unrealistisch sei, von den Mitarbeitern zu erwarten, dass sie jeden Trick verstehen. Stattdessen bräuchten Unternehmen mehrschichtige Abwehrmaßnahmen, darunter Netzwerküberwachung, Endpunkterkennung und strenge Kontrollen darüber, welche RMM-Tools erlaubt sind.

Um das Risiko zu verringern, auf diese Verlockungen hereinzufallen, sollten Sie Ihre Mitarbeiter sensibilisieren . Sie sollten wissen, wie sie verdächtige E-Mails und schädliche Dateien erkennen. Installieren Sie nur Software aus offiziellen Quellen und vermeiden Sie das Öffnen von Anhängen oder Klicken auf Links in E-Mails unbekannter Absender.

Im Zweifelsfall scannen Sie die Datei oder den Link vor dem Öffnen mit einem Dienst wie VirusTotal . Und vor allem: Verlassen Sie sich auf Ihren gesunden Menschenverstand, denn Vorsicht und gutes Urteilsvermögen tragen wesentlich zur Sicherheit von Menschen und Unternehmen bei.