Verbreitung mittels RIG-Exploit-Kit
Um die Monero-Malware großflächig zu verbreiten, setzen die Kriminellen diesmal nicht auf großangelegte Spam-Kampagnen. Vielmehr wird der Schadcode mittels RIG-Exploit-Kit auf von Kriminellen kompromittierten Webseiten hinterlegt. Ohne das Wissen der Webseitenbesitzer lauert auf deren Seiten Schadcode, der es mitunter auf alle Besucher mit veralteten und ungepatchten Systemen abgesehen hat, wie blog.botfrei.de dazu warnt.
Exploit-Kits können Opfer vielfältigen Bedrohungen aussetzen – vom Informationsdiebstahl und der Dateiverschlüsselung bis hin zum bösartigen Mining von Kryptowährungen. Regelmäßige Anwendung der neuesten Patches ist eine effektive Verteidigung.
Wie geht das Rig-Exploit-Kit vor?
Die Vorgehensweise des Rig-Exploit-Kit beschreibt blog.botfrei wie folgt:
Die Seamless-Kampagne von Rig verwendet Malvertisements mit einem versteckten Iframe, um Opfer auf die Zielseite von Rig umzuleiten. Die entsprechende Seite enthält einen Exploit für CVE-2018-8174 und Shell-Code zusammen mit anderen Exploits. RIG versucht dann, die nicht geschlossene Internet Explorer-Schwachstelle auszunutzen und das Opfer mit der Smoke Loader ((Malware-Dropper) zu infizieren. SmokeLoader ist ein Schädling, der in der Lage ist, zusätzlichen Schadcode herunterzuladen und auszuführen, in diesem Fall einen Monero Miner.
Sicherheitslücke wurde bereits geschlossen
Die Sicherheitslücke wurde als CVE-2018-8174 bezüglich der Remotecodeausführung identifiziert. Diese Sicherheitsanfälligkeit betrifft VBScript, das Visual Basic-Skriptmodul, das in Internet Explorer und Microsoft Office enthalten ist und wie entsprechende Objekte im Arbeitsspeicher verarbeitet werden. Wird entsprechender Fehler ausgenutzt, kann der Arbeitsspeicher so beschädigt werden, dass ein Angreifer im Kontext des aktuellen Benutzers, beliebigen Code auf dem System ausführen kann. Die Sicherheitsanfälligkeit betrifft alle Systeme, auf denen Windows 7 und aktuelle Betriebssysteme ausgeführt werden – bereits im Mai 2018 hat Microsoft im Rahmen seines monatlichen Patchdays entsprechende Sicherheitslücke geschlossen.
Tiefgründige Analysen von Experten von Kaspersky, Malwarebytes und weitere haben sich nun auch für Kriminelle als nützlich erwiesen. Forscher des Sicherheitsforschungsinstituts Kaffeine und Trend Micro sagten, die Schwachstelle sei vom “RIG-Exploit-Kit” einverleibt worden und wird derzeit aktiv eingesetzt.Jüngste Beweise deuten darauf hin, dass CVE-2018-8174 neben RIG von einer weltweit operierenden Hacker-Gruppe Cobalt eingesetzt wird, die es vornehmlich auf den Banken- und den Finanzsektor abgesehen hat.
Blogbotfrei gibt Tipps zur Absicherung des Systems
- bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
- Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
- Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
- Schützen Sie Ihren Computer vor einer Infektion, indem Sie das System immer “up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
- Ändern Sie die Standardeinstellung von Windows, welche die Datei-Erweiterungen ausblendet>>
- Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
- Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
- Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac.
Weiterführende Links:
blog.botfrei.de: Cyberkriminelle kompromittieren Systeme über bereits gepatchte Zero-Day-Schwachstelle
