Neue Malware FakeBat Loader verbreitet sich per Drive-by-Download

Drive-by-Downloads sind eine bewährte Technik, mit der Cyberkriminelle Malware auf dem Computer eines Opfers installieren. Und in der ersten Hälfte des Jahres 2024 gab es eine beträchtliche Anzahl von Kampagnen, bei denen diese Angriffsart genutzt wurde, um die FakeBat Loader-Malware zu installieren. 

Heute werde ich einen Überblick über die Funktionsweise von Drive-by-Downloads geben. Anschließend werden wir uns mit den Details von FakeBat Loader befassen und was er über den aktuellen Stand der Cyberkriminalität verrät. Und zum Schluss besprechen wir, wie Sie diese Art von Angriffen am besten bekämpfen können.

Drive-by-Download 

Drive-by-Downloads bestehen im Wesentlichen darin, Benutzer über eine Website zum Herunterladen von Schadcode zu verleiten. Dies kann auf verschiedene Weise erreicht werden. Zu den gängigen Techniken gehören:

• SEO Poisoning ist eine Technik, bei der die Praktiken der Suchmaschinenoptimierung manipuliert werden, um eine gefälschte oder bösartige Website so aufzuwerten, dass sie als echt und gutartig erscheint. So kann beispielsweise die Suche nach einem bestimmten Software-Download Sie auf eine bösartige Seite führen, die sich als die echte Seite ausgibt. Wenn Sie darauf klicken, um die gesuchte Software herunterzuladen, bringen Sie stattdessen Malware in Ihr System.  

• Die Kompromittierung und Code-Injektion erreicht effektiv dasselbe Ziel, indem sie eine legitime Website angreift und kompromittiert. Die Kriminellen fügen dann Malware in den eigentlichen Website-Code ein, so dass beim Besuch der Website oder beim Klicken auf einen scheinbar legitimen Link automatisch Malware auf Ihr System heruntergeladen wird. 

• Malvertising ist eine weit verbreitete Technik, bei der Kriminelle gefälschte Werbung auf legitimen Websites platzieren und sich dabei auf die Komplexität des Ökosystems der Online-Werbung verlassen, um eine Entdeckung unwahrscheinlich zu machen. Wenn ein Benutzer auf die gefälschte Anzeige klickt, wird Malware auf sein System heruntergeladen. Ein Beispiel, das fast jeder schon einmal gesehen hat, ist eine Anzeige mit dem Text „STOP! Ihr System ist infiziert!“ begleitet von einer Schaltfläche „Jetzt scannen“.

Drive-by-Downloads können auch gefälschte Dialogfenster verwenden, die scheinbar von Ihrem Betriebssystem stammen, oder harmlos erscheinende Popup-Anzeigen. Wenn Sie den Dialog schließen oder die Popup-Werbung per Klick schließen, wird tatsächlich der Download von Malware ausgelöst.

FakeBat Loader

Wie der Name schon vermuten lässt, handelt es sich bei FakeBat Loader um eine Art von Malware, deren Hauptzweck darin besteht, heimlich andere, sekundäre Malware-Payloads herunterzuladen. 

Jetzt fragen Sie sich vielleicht: „Warum sollte man sich die Mühe machen, einen Loader herunterzuladen und diesen dann zum Herunterladen der eigentlichen Malware verwenden, anstatt die Malware gleich per Drive-by-Download-Technik herunterzuladen?“

Nun, es stellt sich heraus, dass FakeBat technisch als Loader-as-a-Service (LaaS) klassifiziert ist. Das heißt, ein Cyberkrimineller – ein russischsprachiger Bedrohungsakteur namens Eugenfest – bietet FakeBat als kostenpflichtigen Abonnementdienst für andere Cyberkriminelle an. Es ist sogar in einer Vielzahl von Formaten und Konfigurationen erhältlich, je nach den Bedürfnissen des Benutzers. Abonnements können auf wöchentlicher oder monatlicher Basis erworben werden. 

Der Vorteil der Verwendung von FakeBat für gewöhnliche Cyberkriminelle besteht darin, dass es sehr gut entwickelt wurde, um seine eigene bösartige Natur zu verschleiern, so dass es unwahrscheinlich ist, von Sicherheitsstrategien entdeckt zu werden, die nach bösartigen oder kompromittierten Websites, Anzeigen usw. suchen, die Drive-by-Downloads durchführen.

Und nicht nur das: Sobald es im System eines Ziels installiert ist, ist es auch sehr gut darin, weitere Nutzlasten herunterzuladen, ohne entdeckt zu werden.

All dies verdeutlicht, dass sich das Ökosystem der Cyberkriminalität zu einer sehr ausgereiften Wirtschaft entwickelt hat, in der hochspezialisierte Teilnehmer wertvolle Dienstleistungen austauschen. Und obwohl die Details dieser Untergrundökonomie sehr komplex sein mögen, ist das Ergebnis, dass selbst jemand mit sehr begrenzten Programmierkenntnissen sehr ausgeklügelte Cyberangriffe starten kann, indem er die schwierigen Aufgaben – wie das Erstellen eines Loaders, der unentdeckt bleiben kann, während er Malware wie Ransomware auf ein Zielsystem herunterlädt – im Wesentlichen in Auftrag gibt.

Effektive Verteidigung

Phishing und Social Engineering sind nach wie vor die wichtigsten Methoden, mit denen Bedrohungsakteure erstmals Zugriff auf ein Zielsystem erhalten. Drive-by-Downloads fallen in diese Kategorie, und eine der effektivsten Möglichkeiten, die Anfälligkeit Ihres Unternehmens zu verringern, sind kontinuierliche, gut konzipierte Schulungsprogramme zum Thema Sicherheit. 

Online-Schulungsprogramme wie das Barracuda Security Awareness Training, das Bestandteil von Barracuda Email Protection ist, können äußerst nützlich sein und verringern nachweislich die Anfälligkeit. Allerdings funktionieren diese Lösungen nicht automatisch von alleine. Es liegt an Ihnen, eine Kultur des Sicherheitsbewusstseins aufzubauen und aktiv Simulations- und Schulungskampagnen auf kontinuierlicher Basis zu starten, um deren Wirksamkeit zu optimieren.

Was die technische Seite betrifft, so sind Web-Sicherheitslösungen zunehmend in der Lage, bösartige Websites oder legitime Websites, die kompromittiert wurden, zu erkennen und zu blockieren. Durch die Hinzufügung von KI-basierter Musterverfolgung und Anomalieerkennung sind Produkte wie Barracuda Web Security – ein Bestandteil von Barracuda Network Protection – zunehmend in der Lage, Benutzer davor zu bewahren, gefälschter Werbung usw. ausgesetzt zu werden und Drive-by-Downloads zu initiieren.