Threats & Co

Palo Alto Networks stellt rückläufige Verbreitung bei Exploit-Kits fest

Palo Alto Networks stellt rückläufige Verbreitung bei Exploit-Kits fest

Welche Mittel setzen Cyberkriminelle zunehmend ein? + Unit 42, das Anti-Malware-Team von Palo Alto Networks, beobachtet einen signifikanten Rückgang des Einsatzes von Exploit-Kits durch Cyberkriminelle. Auffällig ist dies besonders bei einem zuvor häufig genutzten Exploit-Kit namens „Rig“. Warum sind Exploit-Kits nicht mehr so aktiv wie früher – und was ist in der globalen Landschaft der Cyberbedrohungen als nächstes zu erwarten? Diesen Fragen ist Palo Alto Networks nachgegangen.

Rig kam zuvor in zwei großen Kampagnen – EITest und Pseudo-Darkleech – monatelang zum Einsatz. Obwohl die Forscher das Rig-Exploit-Kit nach wie vor in anderen Kampagnen wie RoughTed oder Seamless finden, sind die jüngsten Levels am niedrigsten seit Beginn der Beobachtung durch Palo Alto Networks. Rig ist den Forschern zufolge jedoch nicht das einzige Exploit-Kit, das rückläufig ist, alle Exploit-Kits sind betroffen.

 

Ein wichtiger Faktor ist dabei, dass die Zieloberfläche für Exploit-Kits zusehends kleiner wird. Exploit-Kits machen sich in der Regel browserbasierte Schwachstellen zunutze, die auf Windows-Systeme abzielen. Sie konzentrieren sich hauptsächlich auf Internet Explorer, Microsoft Edge und Adobe Flash Player. Gegen beliebte Browser wie Chrome, ein Produkt, das allein in diesem Jahr bereits vier Hauptversions-Updates erhalten hat, sind Exploit-Kits weitgehend ineffektiv. Die Nutzung alternativer Browser hat somit die Anzahl der möglichen Ziele für aktuelle Exploit-Kits stark reduziert. Ein Mangel an neuen Exploits und die jüngsten Bemühungen der Sicherheitscommunity, das Domain-Shadowing zu bekämpfen, haben ebenso zu einem allgemeinen Rückgang der Exploit-Kit-Aktivitäten maßgeblich beigetragen.

 

Was haben die Cyberkriminellen nun vor?

„Da Exploit-Kits zunehmend ineffektiv werden, konzentrieren sich Kriminelle auf andere Methoden wie bösartige Spam-Attacken oder Social-Engineering-Kampagnen wie HoeflerText-Benachrichtigungen. Egal ob durch Spam oder ein Browser-Popup: Die Cyberkriminellen wollen potenzielle Opfer zum Doppelklicken auf eine Datei verleiten, die dann deren Computer infiziert“, erklärt Martin Zeitler, Senior Manager Systems Engineering bei Palo Alto Networks. „In einigen Fällen leiten URLs an einem Tag die Opfer zu einem Exploit-Kit und an anderen Tagen zu einem gefälschten Installer beispielsweise für Adobe Flash Player. Diese Social-Engineering- Kampagnen werden immer häufiger und Forscher übersehen sie häufig, wenn sie nach Exploit-Kits suchen.“

 

Manche Cyberkriminelle haben sich von Malware auch völlig abgewandt und konzentrieren sich auf scheinbar lukrativere Aktivitäten. Zum Beispiel setzt die EITest-Kampagne neuerdings auf die Verbreitung von Tech-Support-Scams. Die Aktivitäten scheinen derzeit standortbezogen zu sein, da sie bislang auf die USA und Großbritannien zielten. Diese spezielle Kampagne nutzt auch Audio-Botschaften, um kontinuierlich die gleichen Informationen zu verbreiten. Betroffene können dabei nicht einfach auf OK klicken oder den Browser schließen, denn die Fenster werden sofort wieder angezeigt. Den Browser zu schließen und die Audio-Botschaft zu stoppen, gelingt nur über den Task-Manager, indem der Browser-Prozess beendet wird. Diese Tech-Support-Scams haben sich bereits als so erfolgreich erwiesen, dass sie jetzt zu einem konstanten Merkmal der aktuellen Bedrohungslandschaft geworden sind. Die EITest-Kampagne verbreitet die Tech-Support-Scams seit über einem Monat.

<< Erste < Vorherige 1 2 Nächste > Letzte >>