Ein Bericht von Microsoft zeigt, wie wichtig es für CISOs ist, das Sicherheitsbewusstsein ihrer Mitarbeiter zu schulen.Malware ist und bleibt ein massives Problem, welches CISOs zunehmend Kopfzerbrechen bereitet. Insbesondere wenn Mitarbeitende durch unvorsichtiges Online-Surfen ihre Geräte und ganze IT-Netzwerke mit Schadsoftware infizieren. Sind Systeme kompromittiert, kann das schwerwiegende Konsequenzen wie Ransomware-Attacken nach sich ziehen. Zu diesen Schlüssen kommt zumindest Microsoft in einem aktuellen Bericht. Wie weit verbreitet solche Infektionen sind und welche Konsequenzen sie nach sich ziehen können, hat eine Anfang Dezember 2024 entdeckte groß angelegte Datendiebstahlskampagne gezeigt. Kriminelle nutzten GitHub, Discord und Dropbox, um Malware auf fast eine Million Geräte zu verteilen.Die Malware-Kampagne via GitHub konnte mittlerweile durch Microsoft eingedämmt werden, indem infizierte Repositories gelöscht wurden. Laut Experten betrifft dieses Problem jedoch alle File-Hosting-Plattformen. Die Malware begann mit einem ‘Dropper”, einer sehr einfachen Software, die Code herunterlädt, entschlüsselt und ausführt, wodurch er schwer frühzeitig zu erkennen ist. Malware durch illegale Streams: Laut dem Microsoft-Bericht bauten illegale Streaming-Websites Malvertising-Redirectors in Filmbilder ein. So sollten Einnahmen generiert und Nutzer zu bösartigen GitHub-Repositories umgeleitet werden. Dort wurde die erste Schadsoftware-Stufe installiert.Ab Januar 2025 waren diese Payloads mit neu erstellten Zertifikaten digital signiert, von welchen Microsoft mittlerweile zwölf widerrufen hat. In der zweiten Stufe spionierte die Malware Systeminformationen aus, während die dritte Stufe zusätzliche Schadsoftware wie Lumma Stealer oder Doenerium nachlud, um Daten zu stehlen. Angreifer übernehmen die Kontrolle: Abhängig von der ursprünglichen Nutzlast setzten die Angreifer häufig auch zusätzlich NetSupport ein, ein Programm zur Fernüberwachung und -verwaltung (RMM). Zusätzlich zu den Infostealern wurden PowerShell-, JavaScript-, VBScript- und AutoIT-Skripte auf dem Host ausgeführt.Die Bedrohungsakteure verwendeten LOLBAS-Programme und -Skripte wie PowerShell.exe, MSBuilt.exe und RegAsm.exe. Hiermit stellten sie eine Verbindung zu Command-and-Control-Servern (C2) her und erbeuteten Benutzerdaten sowie Browser-Anmeldeinformationen. Diese Cyberkampagne betraf allerdings nicht nur private Nutzer, sondern zog auch weitere Kreise bis in zahlreiche Unternehmensnetze hinein. Einfache Maßnahmen für alle: Microsoft empfiehlt eine Reihe bereits altbekannter Sensibilisierungsmaßnahmen, um solchen Attacken vorzubeugen. Eigentlich sollten diese längst Wirkung gezeigt haben. Doch offensichtlich ist und bleibt der Faktor Mensch das anfälligste Glied in der Sicherheitskette, wie Microsofts Standardtipps einmal mehr nahelegen:
Meldungen auf Anmeldebildschirmen, Bildschirmschonern und E-Mail-SignaturblöckenMitarbeitenden-Newsletter mit Artikeln über Cybersicherheit und DatenschutzPoster (physisch oder digital) mit Tipps zur Cybersicherheit und zum Datenschutzeine Messe zum Monat der Cybersicherheit (Oktober) oder zur Woche der Datensicherheit (Januar)Erinnerungen und Tipps zur Cybersicherheit und zum Datenschutz auf Mitarbeitermaterialien (z. B. Stifte, Notizblöcke usw.)Regelmäßige oder anlassbezogene E-Mail-Nachrichten mit aktuellen Tipps oder als Reaktion auf ein Ereignis oder Problem im Bereich der Cybersicherheit oder des Datenschutzes
First seen on csoonline.com
Jump to article: www.csoonline.com/article/3845100/fast-1-million-geschafts-und-privat-pcs-kompromittiert.html
