PuTTY und FileZilla Werbeanzeigen führen auf Malware

9. April 2024 - Die Firma Malwarebytes hat bösartige Werbenzeigen für Putty und Filezilla beobachtet, die als gesponserte Ergebnisse auf Google erscheinen und dazu führen, dass die Nitrogen-Malware auf den Computern der Opfer installiert wird.

Die Angreifer locken ihre Opfer mit täuschend echten Anzeigen auf manipulierte Websites, wo die Nitrogen-Malware als harmlose Installationsprogramme für PuTTY oder FileZilla getarnt ist.

Sobald die Malware durch Installation von Putty oder FileZilla aktiviert ist, ermöglicht sie den Angreifern den Zugang zu privaten Netzwerken, was den Weg für Datendiebstahl und die Ausbringung von Ransomware ebnet. Besonders heimtückisch: Google wurde bereits über diese betrügerischen Aktivitäten informiert, hat jedoch noch keine Gegenmaßnahmen ergriffen.

Die in der Werbekampagne verwendeten Landingpages sehen täuschend echt aus und können selbst erfahrene IT Admins täuschen. Bei der Installation von Putty und FileZilla wird dann eine eine Technik namens DLL-Sideloading verwendet, bei der eine legitime, signierte ausführbare Datei eine bösartige DLL-Datei lädt und ausführt.

Um sich gegen solche Bedrohungen zu wappnen sollten IT-Administratoren den Verkehr von bekannten und weniger bekannten Anzeigennetzwerken über Gruppenrichtlinien einschränken und fortschrittliche Endpoint Detection and Response (EDR)-Systeme einsetzen, sowie möglichst nicht auf sponsored Content in den Google-Suchergebnissen klicken, sondern bis zu den ersten organischen Treffern zu scrollen.

Related Posts

Maximales Sicherheitsrisiko in Windows .bat und .cmd Dateien entdeckt

Der Sicherheitsexperte RyotaK von Flatt Security Inc. hat am 9.4.24 eine Schwachstelle in verschiedenen Programmiersprachen in Windows gemeldet, die unter bestimmten Umständen ein maximales Sicherheitsrisiko mit CVSS Score 10 / 10 darstellen kann. Die unter dem Namen BatBadBut geführte Schwachstelle, die es Angreifern ermöglicht, Befehlsinjektionen in Windows-Anwendungen durchzuführen, die indirekt von der Funktion CreateProcess abhängen. Diese Funktion startet implizit cmd.exe beim Ausführen von Batch-Dateien (.bat, .cmd), selbst wenn diese nicht explizit in der Befehlszeile angegeben sind. Dies wird problematisch, da cmd.exe komplexe Parsing-Regeln für Befehlsargumente hat und Laufzeitumgebungen von Programmiersprachen diese Argumente nicht korrekt escapen.

Read More

Lexmark Drucker durch Schwachstelle angreifbar

Lexmark hat wichtige Sicherheitsupdates für seine Druckergeräte herausgegeben, um zwei kritische Sicherheitslücken zu beheben. Die Updates adressieren Schwachstellen vom Typ Server Side Request Forgery (SSRF) und in der Buffer Overflow im Internet Printing Protocol (IPP), die in verschiedenen Lexmark-Geräten identifiziert wurden. Die erste Schwachstelle, gekennzeichnet als CVE-2023-50733, betrifft eine SSRF-Anfälligkeit in der Webdienstfunktion neuerer Lexmark-Geräte, mit einer CVSS-Basisbewertung von 8,6. Die zweite Schwachstelle, unter CVE-2023-50739 registriert, ist eine Pufferüberlaufschwachstelle im IPP verschiedener Lexmark-Geräte, mit einer CVSS-Basisbewertung von 8,8. Beide Schwachstellen ermöglichen es einem Angreifer, potenziell unautorisierten Code auszuführen oder das Gerät zu kompromittieren.

Read More

Schwachstellen in Sharepoint: Angreifer bleiben unentdeckt

Varonis Threat Labs hat zwei neue Techniken identifiziert, mit denen Nutzer in SharePoint Sicherheitsmechanismen umgehen und unbemerkt Dateien extrahieren können. Die Forscher entdeckten, dass bestimmte Handlungen in SharePoint die Auslösung von Download-Events vermeiden können, was eine unauffällige Exfiltration von Dateien ermöglicht. Diese Techniken könnten traditionelle Sicherheitstools wie Cloud-Zugriffssicherheits-Broker, Datenverlustpräventionssysteme (DLP) und SIEMs (Security Information and Event Management) unterlaufen, indem sie Downloads als weniger verdächtige Zugriffs- und Synchronisationsereignisse tarnen.

Read More