Wie Cyberkriminelle die "Ich bin kein Roboter"-Captchas zur Verbreitung von Malware nutzen

Analysten von HP Wolf Security haben den aktuellen Threat Insights Report veröffentlicht. Der Bericht zeigt aktuelle Cyberbedrohungen auf, welche die HP-Bedrohungsforscher im vierten Quartal 2024 identifizierten. Im Fokus steht dabei die Zunahme von gefälschten Captcha-Verifizierungstests, die Anwenderinnen und Anwender dazu verleiten, Malware zu installieren. 

Gefälschte Captchas als Einfallstor für Malware

"Ich bin kein Roboter" - mit dem Anklicken dieses Satzes bestätigen Tausende Internetnutzerinnen und -nutzer tagtäglich, dass sie Menschen sind. Cyberkriminelle setzen vermehrt auf die Verwendung solcher gefälschten Captcha-Verifizierungstests, um Nutzende zu täuschen, wie der HP Threat Insights Report zeigt. Dabei spiele es den Angreifern in die Karten, dass viele Menschen bereits an regelmässige Authentifizierungsschritte gewöhnt sind. HP bezeichnet dieses Verhalten als "Klick-Toleranz". 

In den Identifizierten Angriffen seien die Opfer auf manipulierte Websites geführt worden, wo sie eine Reihe scheinbar harmloser Captchas erfüllen mussten. Letztendlich führten sie jedoch unwissentlich einen schädlichen Powershell-Befehl auf ihrem Rechner aus. Dieser installierte daraufhin den Remote-Access-Trojaner (RAT) von Lumma Stealer, wie HP schreibt.

Spionage über Webcams und Mikrofone

Ein weiteres Risiko stelle die Verbreitung des Open-Source-RAT "XenoRAT" dar. Diese Malware kann laut Mitteilung Mikrofone und Webcams unbemerkt übernehmen. Die Angreifer würden hier auf Social-Engineering-Techniken setzen, um Nutzende zum Aktivieren von Makros in Word- und Excel-Dokumenten zu verleiten. Einmal ausgeführt, erlaube "XenoRAT" die Steuerung des Geräts, das Aufzeichnen von Tastenanschlägen sowie das Abgreifen sensibler Daten.

Malware in SVG-Bildern 

Die dritte identifizierte Angriffsmethode zeigt laut HP, wie Cyberkriminelle schädliche Javascript-Code in Scalable Vector Graphic (SVG)-Bildern, einer Art Web-Bilddatei, einbauen. Da Browser diese Bilder automatisch öffnen, wird der versteckte Code laut HP beim Laden ausgeführt und verteilt mehrere Schadprogramme wie RAT und Infostealer. Dies biete den Angreifern die Sicherung der Kontrolle sowie Möglichkeiten zur Einnahmegenerierung. Zusätzlich würden sie auf versteckte Python-Skripte setzen, um die Schadsoftware zu installieren. Mit dem zunehmenden Interesse an KI und Data Science nimmt auch die Popularität von Python zu. Die Angriffe mit Python haben sich laut einer Bedrohungsanalyse von G Data sogar versechsfacht, wie Sie hier nachlesen können.

Patrick Schläpfer, Principal Threat Researcher im HP Security Lab, sagt: "Ein gemeinsamer Nenner dieser Kampagnen: Sie verwenden Verschleierungs- und Anti-Analyse-Techniken, um Untersuchungen zu verlangsamen. Selbst solche einfachen, aber wirksamen Techniken können die Erkennung und Reaktion von Sicherheitsteams verzögern – und so die Eindämmung einer Infektion erschweren. Durch Methoden wie das Verwenden direkter Systemaufrufe erschweren Angreifer das Aufzeichnen bösartiger Aktivitäten durch Security-Tools. Cyber-Kriminelle erhalten damit mehr Zeit, unentdeckt zu operieren und die Endgeräte der Opfer zu kompromittieren."
 

Cyberkriminelle setzen vermehrt auf künstliche Intelligenz, um Code für Malware zu generieren. Dies zeigt HPs Threat Insight Report von vergangenem September. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.