Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Berichte IT/Computer Hacker-Gruppe Turla nutzt Erweiterungen im Firefox-Browser, um Opfer auszuspionieren

Hacker-Gruppe Turla nutzt Erweiterungen im Firefox-Browser, um Opfer auszuspionieren

Archivmeldung vom 08.06.2017

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 08.06.2017 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Thorsten Schmitt
Bild: Gerd Altmann / pixelio.de
Bild: Gerd Altmann / pixelio.de

Seit 2007 attackiert die Cyberspionage-Gruppe Turla Regierungen sowie Regierungsvertreter und Diplomaten. Nun hat sie ihrem Arsenal ein neues Werkzeug hinzugefügt: Der europäische Security-Software-Hersteller ESET hat eine neue Angriffsstrategie analysiert, bei der die Gruppe eine Firefox-Erweiterung nutzt, um das beliebte soziale Netzwerk Instagram für ihre Zwecke zu missbrauchen.

Die Taktik der Turla-Gruppe besteht üblicherweise in der Kompromittierung von Webseiten, die von den anvisierten Opfern häufiger aufgerufen werden - sogenannte "Watering-Hole-Attacken". Einmal ins Netz gegangen, werden die Nutzer auf einen Command-and-Control-Server (C&C) umgeleitet, über den die Geräte der Opfer Befehle empfangen und überwacht werden können.

Verbreitung über Instagram-Kommentare

Bei der Beobachtung aktueller Turla-Kampagnen fiel den Forschern von ESET eine Firefox-Erweiterung auf, die erst kürzlich als schädlich eingestuft wurde. Im Gegensatz zu älteren Versionen nutzt diese Erweiterung eine bit.ly-Kurz-URL, um Kontakt zum C&C-Server herzustellen. Dieser URL-Pfad findet sich allerdings nicht in der Firefox-Erweiterung, sondern wird über die Kommentarfunktion einzelner Instagram Posts verbreitet - so beispielsweise unter einem Bild auf dem Account von Britney Spears.

Um an die bit.ly-URL zu gelangen, durchsucht die Erweiterung alle Instagram-Kommentare. Für jeden Kommentar, den sie berechnet, hat sie einen benutzerdefinierten Hashwert. Wenn der Hashwert mit der Zahl 183 übereinstimmt, wird der URL-Pfad aus dem Kommentar gezogen.

Herausforderung für Security-Branche

"Die Tatsache, dass Turla Social Media nutzt, um C&C-Adressen wiederherzustellen, macht Anbietern von Cybersecurity-Lösungen das Leben schwer. Mit dieser Taktik lässt sich böswilliger von normalem Traffic in Social-Media-Kanälen kaum noch", so Jean-Ian Boutin, Senior Malware Researcher bei ESET. "Da die Informationen für die Command-and-Control-URL in einfachen Kommentaren versteckt sind, hat der Angreifer die Möglichkeit, diese einfach zu ändern oder komplett zu löschen."

Um nicht selbst Opfer einer solchen Watering-Hole-Attacke zu werden, empfehlen die ESET-Forscher Browser und deren Erweiterungen stets aktuell zu halten. Zudem sollten Nutzer Erweiterungen und Add-ons nur aus seriösen Quellen laden und installieren. Glücklicherweise sind moderne Cybersecurity-Lösungen in der Lage, verdächtige Webseiten, welche potentiell schädliche Inhalte verbreiten, zu erkennen und den Nutzer rechtzeitig zu warnen.

Die vollständige Analyse der neuen Watering-Hole-Kampagne von Turla findet sich im ESET Blog WeLiveSecurity unter: https://www.welivesecurity.com/deutsch/2017/06/07/turla-watering-hole-firefox-erweiterung-missbraucht-instagram

Quelle: www.eset.com/de//Michael Klatte

Gern gelesene Artikel

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Weitere Videos
Termine
Kommende Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte tapsen in folgendes Feld um den Spam-Filter zu umgehen

Oder nutzen sie unseren
News-Feed News-Feed
Anzeige