Malware und Phishing Vertrauenswürdige Subdomains lassen Cyberangriffe seriös erscheinen

Sicherheitsexperten beobachten einen neuen Trend: Cyberkriminelle nutzen nicht mehr nur kompromittierte Webseiten zum Hosten von Schadsoftware, sondern sie setzen verstärkt auf legitime Infrastruktur-Dienste, melden Forscher des Forcepoint X-Labs-Teams. Dabei machen sie auch von Künstlicher Intelligenz regen Gebrauch.

Cyberkriminelle verändern ihre Strategien. Statt Malware- und Phishing-Kampagnen über kompromittierte Server und Websites laufen zu lassen, missbrauchen sie verstärkt reguläre Infrastruktur-Services. Ein Beispiel dafür ist blogspot.com, der kostenlose Domain-Service von Google für Blogger. Auf ihm hosteten Autoren der Agent-Tesla-Malware ihre Stage Payloads. Ein weiteres Beispiel liefert Trycloudflare.com. So verwendeten Hacker den temporären Cloud-Tunnel-Service von Trycloudflare zur Installation von RAT-Malware (Remote Access Trojan) wie AsyncRAT, Remcos-RAT und XWorm. Die Snakekeylogger-Malware-Kampagne wiederum nutzte das Content Delivery Network Discord CDN zum Hosten bösartiger Dateien.

Auch von Secureserver.net machen Cyberkriminelle regen Gebrauch. Von dort ging beispielsweise der Ursprung einer Malware-Kampagne aus, die es hauptsächlich auf Finanzinstitute in Südamerika abgesehen hatte. Malware wie Grandoreiro und NetSupport RAT nutzten ebenfalls diese Plattform. Am Beispiel von Secureserver.net lässt sich eindrucksvoll aufzeigen, welche Größenordnung der Wechsel von Hackern zu legitimen Services inzwischen angenommen hat. So fing der Cybersecurity-Spezialist Forcepoint allein in den vier Monaten von Juni bis September 2024 über 3,7 Millionen verdächtige E-Mails ab, die Secureserver.net-URLs enthielten.

Die vertraute Subdomain gibt dem Angriff einen seriösen Anstrich

Für Phishing-Kampagnen nutzen Cyberkriminelle unter anderem Web-Infrastruktur- und CDN-Services von Cloudflare. Mit dem Dienst Pages stellten sie statische Webseiten bereit und den Dienst Workers nutzen sie dafür, serverlosen Code an mehreren Standorten rund um den Globus auszuführen. Mit Cloudflare CDN beschleunigten sie die Bereitstellung von SaaS-Anwendungen überall auf der Welt.

IT-Sicherheitsexperten beobachten außerdem erhebliche bösartige Aktivitäten auf der Domain Windows.net. So nutzen Cyberkriminelle Azure Blog Storage, um statische Webinhalte, Dateien und Anwendungen zu hosten und zu bedienen. Ihre Phishing-Seiten und ihre Malware, etwa für Tech-Support-Scams, hosten sie auf Subdomains wie web.core.windows.net oder azurewebsites.net und geben ihnen dadurch einen seriösen Anschein, da sie mit der vertrauenswürdigen Infrastruktur von Microsoft verbunden sind.

Hacker greifen aber auch auf Open-Source-Dienste wie das Dateisystem IPFS zurück. Dessen dezentraler Charakter macht es schwieriger, Webseiten, Dateien oder Anwendungen lahmzulegen, da sie über mehrere Server verteilt sind. Weil die Inhalte über mehrere Knoten verstreut sind, funktionieren bei IFPS auch die herkömmlichen Methoden zur Abschaltung von Web-Hosting-Diensten nicht effektiv – etwa die Kontaktaufnahme mit dem Hosting-Anbieter. Um eine Erkennung und Blockierung zu umgehen, verwenden Angreifer außerdem rotierende bösartige URLs, die auf Plattformen wie AWS oder Azure gehostet werden.

Hacker agieren wie Digital Marketers

Bei ihren Phishing-Kampagnen verhalten sich die Angreifer oft wie Verantwortliche für digitales Marketing. Sie wenden Taktiken wie SEO-Poisoning an, bei der sie beliebte oder aktuelle Schlüsselwörter auf ihren bösartigen Websites verwenden, damit die Suchmaschinen sie höher ranken. Diese Schlüsselwörter stehen oft im Zusammenhang mit aktuellen Ereignissen, beliebter Software oder Fragen zur IT-Sicherheit – zum Beispiel „kostenloses Antivirus“ oder „Google Authenticator“.

Genau wie digitale Vermarkter nutzen Hacker auch Google-Anzeigen, um ihre Waren bei ahnungslosen Opfern anzupreisen. So waren Szenarien zu beobachten, in denen sie sich als Produkte aus der Google-Palette wie etwa als Google Authenticator oder Google Maps ausgaben. Mit Looker Studio von Google erstellen sie Fake-Seiten auf denen sie Bilder anzeigen, die solchen entsprechen, die man auf der Suchseite von Google erwartet. So wollen sie Nutzer dazu bringen, mit der gefälschten Seite zu interagieren. Mit Anzeigen locken sie die Nutzer auf diese gefälschten Google-Seiten.

Bösartige Websites und Phishing gehen durch die Decke

Zahlen von Forcepoint zeigen, wie sich die verschiedenen Malware-Kategorien in der jüngeren Vergangenheit entwickelten. So erkannten die Echtzeit-Signaturen des Unternehmens im ersten Quartal 2024 noch weniger als 100.000 bösartige Websites und im dritten Quartal dann bereits knapp 500.000. In diesem Zeitraum hat sich ihre Anzahl also fast verfünffacht. Phishing und Scam stiegen im selben Zeitraum von etwa 125.000 auf fast 400.000 Instanzen. Die Zahl der kompromittierten Websites stieg im Vergleich dazu deutlich geringer an und liegt auch in absoluten Zahlen weit hinter bösartigen Websites, Phishing und Scam zurück.

Von Skript-Kiddies zu Malware-Kiddies?

Für ihre Kampagnen nutzen Hacker natürlich auch Künstliche Intelligenz. Sie erstellen damit überzeugende Texte für ihre Fake-Websites, verfassen authentisch klingende E-Mails, konzipieren gut strukturierte Phishing-Versuche per SMS und sogar ausgeklügelte Phishing-Versuche mithilfe von Sprache. Mit KI generieren sie Fake-Dokumente wie Rechnungen oder echt klingende Auftragsdetails und Referenzen, die dann eine Schadsoftware enthalten. Sie verwenden Chatbots, um ihre Opfer in Echtzeitgesprächen zur Weitergabe sensibler Informationen zu verleiten. Oder sie nutzen große KI-Sprachmodelle, um kontextabhängige Antworten zu generieren, mit denen sie sofort reagieren können, wenn jemand auf eine Phishing-E-Mails antwortet und so die Glaubwürdigkeit erheblich steigern.

Künstliche Intelligenz erleichtert aber auch dem Nachwuchs den Einstieg in die Cyberkriminalität. Mit ihrer Hilfe können junge Menschen die Elemente einer Malware-Kampagne erstellen und dabei legitime Dienste als Infrastruktur für das Hosting und die Bereitstellung dieser Elemente nutzen. Deshalb steht zu befürchten, dass Skript-Kiddies schon bald den Weg für Malware- und Phishing-Kiddies freimachen.

Über den Autor

Fabian Glöser ist Team Leader Sales Engineering DACH bei Forcepoint.

(ID:50364008)