Laut der aktuellen Analyseergebnisse eines US-amerikanischer Anbieters von Threat-Management-Lösungen stellen in 2023 die vermehrt auftretenden Living-of-the-Land-Attacken eine besondere Herausforderung unter den Trends bei der Cyber-Kriminalität dar. „Living off the land“ (LotL) meint wörtlich, von den Ressourcen zu leben, die man an einem Ort vorfindet; im Fall der der LotL-Angriffe bedeutet dies, dass Hacker ein System ohne großen Aufwand mit Hilfe der bereits auf dem infizierten Endgerät installierten Standard-Apps und -Prozesse knacken. Auf Windows-Systemen nutzen Cyber-Kriminelle etwa Standard-Tools wie die PowerShell oder die Windows-Eingabeaufforderung (die CMD.exe) mit ihren vielen Befehlen und Erweiterungen. Das neuste Beispiel für Malware, die Werkzeuge nutzt, die bereits im Betriebssystem integriert sind, ist eine erst kürzlich von Sicherheitsexperten entdeckte „ViperSoftX“-Variante, ein JavaScript-basierter Remote-Access-Trojaner.
Da bislang nur Windows-Benutzer von der ViperSoftX-Malware-Kampagne betroffen zu sein scheinen, sprechen Experten bei ViperSoftX von einer Windows-Malware, die sich vordringlich über gehackte Software, etwa Microsoft Office und Adobe Illustrator, oder über Torrent-Downloads verbreitet. Die Malware, die es auf den Diebstahl von Anmeldeinformationen und anderen sensiblen Daten abgesehen hat und den Angreifern sehr effektive Verschleierungsmöglichkeiten bietet, setzt eine Google Chrome-Erweiterung namens „VenomSoftX“ ein. Sicherheitsanbieter sprechen von bis zu 100.000 Nutzern weltweit, die von den aktuellen Aktivitäten im Zuge der Kampagne betroffen sind – mit Schwerpunkt auf den USA und Italien.
Zu den Tools, die sowohl regelmäßig von Netzwerkadministratoren für Routineaufgaben genutzt, aber auch von Cyber-Kriminellen für böswillige Zwecke missbraucht werden, gehören Powershell, Windows Management Interface (WMI) und PsExec. Im Nutzungsfall können daher die klassisch auf statischen Regeln und Signaturen basierenden Sicherheitstools nur schwer oder gar nicht zwischen einem legitimen und einem kriminellen Zugriff unterscheiden. „Das wiederholte Auftreten von Microsoft Office- und PowerShell-basierter Malware unterstreicht die Bedeutung eines Endpunktschutzes, der funktional in der Lage ist, zwischen der legitimen und böswilligen Nutzung beliebter Tools wie PowerShell zu unterscheiden“, kommentiert Corey Nachreiner, Chief Security Officer beim Threat-Management-Anbieter WatchGuard, die Entwicklung. „Entsprechend der von Living-of-the-Land-Angriffen und anderen raffinierten Bedrohungen ausgehenden Gefahr ist die Bedeutung einer mehrschichtigen Malware-Abwehr extrem hoch.“
Laut des aktuellen, von WatchGuard herausgegebenen Internet Security Report geht der Trend gerade eher weg von der direkten Phishing-Ansprache und kriminelle Angreifer fokussieren sich derzeit vermehrt auf neue Wege, um Anwender gleich ohne Zwischeninstanz beim Surfen im Internet zu übertölpeln. Im Anschluss an eine erste Welle von Cyber-Kriminalität, die sich Pop-up-Fenster zu Nutze gemacht hatte, hatten die meisten Webbrowser ihre Schutzmechanismen im Hinblick auf Pop-up-Missbrauch aktualisiert und erweitert. Die WatchGuard-Analyse der Malware-Trends und Angriffsversuche auf Netzwerke und Endgeräte für das erste Quartal 2023 belegt nun, dass Cyber-Kriminelle inzwischen auf die noch relativ neuen Benachrichtigungsoptionen von Browsern ausweichen. Die Berechtigungsfunktionen für entsprechende Benachrichtigungen sind immer häufiger manipuliert. Den Kriminellen geht es dabei vor allem darum, Anwender dazu zu bringen, der Nutzung von Diensten mit übermäßig hohen Gebühren zuzustimmen; es werde über diesen Weg aber auch direkt Schadsoftware installiert, so WatchGuard. Doch auch das sogenannte SEO-Poisoning feiere in 2023 ein Revival. Bei dieser Angriffsform erstellen Cyberkriminelle SEO-optimierte Webseiten zu im Trend liegenden Suchbegriffen, die die Suchenden zum Anklicken verleiten sollen. Auf der angesteuerten Website wartet dann nicht selten Malware, die ihre schädliche Wirkung schon per Drive-by-Download entfaltet.
Dass es kriminelle Angreifer jedoch keinesfalls nur auf Windows-Betriebssysteme abgesehen haben, beweist das Auftauchen eines neuen auf Linux abzielenden Malware-Droppers. „Auch Linux- und macOS-Anwender dürfen sich niemals zu sicher sein“, warnen die WatchGuard-Sicherheitsexperten. „Daher sollte unbedingt darauf geachtet werden, dass bei der Einführung und Nutzung von Endpoint Detection and Response (EDR)-Funktionalität ausnahmslos alle Endgeräte – ganz unabhängig von deren Betriebssystem – abgedeckt sind.“ Weiter weist der Threat-Management-Anbieter darauf hin, dass nach seinen Analysen Zero-Day-Malware den größten Anteil unter den identifizierten Gefahren ausmacht: beim unverschlüsselten Datenaustausch im Web schlägt der Anteil von Zero-Day-Malware, so die WatchGuard-Experten, mit 70 Prozent am Gesamtvolumen der sicherheitsrelevanten Entdeckungen zu Buche, beim verschlüsselten Datenverkehr liege der Anteil sogar bei satten 93 Prozent. „Das enorme Risiko, dass IoT-Geräte, falsch konfigurierte Server oder andere Devices zum Einfallstor für Angreifer werden, ist somit mehr als offensichtlich“, so WatchGuard.
