Die Infosec-News der Woche

Freitag 30. September – Freitag 7. Oktober

Bösartige Version des Anonymisierungs-Browsers „Tor“ über YouTube verbreitet, Cyberkriminelle stehlen 2 Millionen Binance Coins, zweitgrößte Krankenhauskette der USA von mutmaßlichem Ransomware-Angriff betroffen, Hackerangriff auf HIPP, Android-Spyware "RatMilad" hat es auf Unternehmensgeräte im Iran abgesehen und Phishing-Angriff gegen McDonalds und KFC – das sind die Infosec News der Woche.



Schwachstellen und Exploits

Angreifer verbreiten infizierte Version des beliebten Tor-Browsers über YouTube

Forscher des Sicherheitssoftware Anbieters Kaspersky, haben vor kurzem einen bösartigen Tor-Browser-Installer entdeckt. Über einen Link in der Videobeschreibung eines YouTube-Kanals mit mehr als 170.000 Abonnenten, gelangten die Opfer zu der infizierenden Version des Tor-Browsers, der eigentlich zur Anonymisierung genutzt wird. Mit der Originalversion werden Verbindung zu den angewählten Seiten verschlüsselt und zusätzlich über viele verschiedene und variable Knotenpunkte im Onion-Netzwerk geleitet, mit dem Ziel seine Verbindungsdaten zu verschleiern.

Unter den vielen Fällen, die entdeckt worden sind, ist ein Erklärungsvideo eines chinesischen YouTube Kanals mit mehr als 180.000 Abonnenten und 64.000 Aufrufen, in welchem es um das Darknet geht. In China sind die Menschen aufgrund der Zensur, auf Webseite Dritter angewiesen für einen Download des Tor-Browsers. Daher kamen die meisten der Betroffenen aus China, denn das Land blockiert die Webseite des anonymen Onion-Browsers.

Die Angreifer verteilen Spyware und sammeln persönliche Daten, welche sie an ihre Servern übermitteln. Dabei ist es interessant, dass sie nicht wie andere Angreifer anhand von Stealern, Passwörter oder Wallets abgreifen möchten, sondern vielmehr bestrebt sind, Informationen die zur Identifizierung der Personen dienen zu entwenden. Dazu gehören die Konto-IDs der sozialen Netzwerke und Wi-Fi-Netzwerke.

Die Vorgehensweise ist deshalb beunruhigend, weil sich die Gefahren vom virtuellen Bereich auf das echte Leben ausweiten. Es bestehen bereits Fälle, in denen es zu Erpressungen kam durch Informationen über das Privatleben, die Wohnanschrift und die Familie der Betroffenen.

Cyberkriminelle stehlen 2 Millionen BNB (Binance Coins) im Wert von mehr als 562 Millionen US-Dollar

In einem Blogpost vom 7 Oktober schrieb Binance, eine Handelsplattform, auf der mit Kryptowährungen und Derivaten gehandelt werden kann, dass sie sich für den stattgefundenen Exploit bei ihrer Community entschuldigen. „Wir sind dafür verantwortlich.“

Binance ist mit einem Handelsvolumen von 20 Milliarden US-Dollar die größte Krytowährungsbörse. In dem Statement heißt es: „Es gab einen Exploit, der die native Cross-Chain-Brücke zwischen der BNB Beacon Chain (BEP2) und der BNB Smart Chain (BEP20 oder BSC), bekannt als "BSC Token Hub", betraf. Insgesamt wurden 2 Millionen Binance Coins abgezogen. Der Exploit erfolgte durch eine ausgeklügelte Fälschung der Low-Level-Proofs in einer gemeinsamen Bibliothek.“

Alle Ereignisse und Details des Sicherheitsvorfalls, möchte das Unternehmen erst nach sorgfältigen Untersuchungen bekannt geben.

Derzeitig soll nach Angaben von Binance, mit der Unterstützung von unter anderem Sicherheitsexperten, der Großteil der Gelder unter Kontrolle sein.

Um in der Zukunft Angriffe abzuwehren, wird ein neuer On-Chain-Governance-Mechanismus auf der BNB-Kette implementiert.

Abschließend bedankt sich Binance bei ihrer Community dafür, so schnell gehandelt zu haben, um einen möglicherweise noch schwerwiegenderen Vorfall zu verhindern. Sie entschuldigen sich für die Probleme, die die Aussetzung von BNB Smart Chain verursacht hat.

296.000 Kundendaten vom T-Connect-Dienst des japanischen Toyota Konzerns möglicherweise geleakt

Der Automobilhersteller Toyota Motor Corporation aus Japan, teilte am Freitag mit das vermutlich 296.000 Kundendaten durch ihren T-Connect-Dienst abgegriffen wurden.

In dem Leak sind Daten, wie E-Mail-Adresse und Kundenummern der Benutzer des Telematikdienstes enthalten. T-Connect wird von den Kunden als App genutzt, um mit dem Fahrzeug zu kommunizieren. Die Funktionen sind unter anderem Routenplanung, Fahrdaten, Inspektionserinnerungen, Versicherungen und ein Unfallassistent.

Die Kunden, die sich seit Juli 2017 mit ihrer E-Mail-Adresse auf der Webseite des Dienstes angemeldet haben, sind betroffen von der Datenschutzverletzung.

Es wurde zwar, laut Toyota, in der Zugriffshistorie kein Zugriff durch Dritte festgestellt, jedoch können die eingeschalteten Sicherheitsexperten einen Fremdzugriff auf die Server, wo die Daten abgespeichert sind, nicht vollständig ausschließen.

Es besteht eine Gefahr, dass Namen, Telefonnummern und Kreditkarteninformationen durch Angreifer gestohlen wurden. Der Automobilhersteller möchte davor warnen, dass möglicherweise Informationen der Kunden missbraucht werden könnten, in Form von Spam und Phishing-Betrug.

Die T-Connect-Webseite wurde von einem Auftragnehmer entwickelt, welcher versehentlich Teile des Quellcodes, mit öffentlichen Einstellungen im Zeitraum vom Dezember 2017 und September 2022, hochgeladen hatte.


Hacker-Gruppen und Kampagnen

Zweitgrößte Krankenhauskette der USA von mutmaßlichem Ransomware-Angriff betroffen

Die betroffene Krankenhauskette Common Spirit Health, ist die zweitgrößte Klinikgruppe der USA, sie betreibt mehr als 700 Pflegeinrichtungen und 142 Krankenhäuser in 21 Bundesstaaten.

Am 5. Oktober veröffentlichte Common Spirit ein Statement auf ihrer Webseite, in dem es heißt: „Wir haben ein IT-Sicherheitsproblem festgestellt, das sich auf einige unserer Einrichtungen auswirkt. Wir haben bestimmte Systeme vom Netz genommen.“

Der Gesundheitsriese schreibt des Weiteren, dass sie das Problem weiterhin untersuchen und den bestehenden Protokollen für Systemausfälle folgen. Als Folge des Sicherheitsvorfalls mussten Patiententermine verschoben werden und auch die elektronische Gesundheitsakte (EHR) kann derzeit nicht genutzt werden. Sie nehmen ihre Verantwortung gegenüber ihren Patienten sehr ernst und entschuldigen sich für die entstandenen Beeinträchtigungen. Obwohl die Ursache des Sicherheitsproblems unbekannt ist, vermuten viele Cybersicherheitsexperten und Forscher, Ransomware als wahrscheinlichen Übeltäter.

In den letzten Jahren haben sich Ransomware-Angreifer vor allem auf das Gesundheitswesen konzentriert, wie der Bericht von dem Sicherheitsdienstleister Sophos zeigt.

Die Angriffe auf die Gesundheitsbranche haben sich fast verdoppelt, 66 % der befragten Organisationen waren im Jahr 2021 von Ransomware betroffen, im Jahr davor waren es noch 34%.

Der Anstieg der Angriffe beruht darauf, dass das Gesundheitswesen am häufigsten Lösegeld bezahlt, wenn auch weniger als der Durchschnitt. Der Mittelwert der gezahlten Lösegelder im Bereich Gesundheit liegt bei 197.000 US-Dollar, während der weltweite Durschnitt bei 812.000 US-Dollar liegt. Dennoch werden auch nach einer Zahlung weniger Daten wiederhergestellt, im Jahr 2021 erhielten nur 65 % der Erpressten ihre Daten zurück.

Babynahrungs Hersteller Hipp gibt Hackerangriff bekannt

Hipp, der Hersteller für Babynahrung und Körperpflegeprodukte mit deutschem Firmensitz im oberbayerischen Pfaffenhofen an der Ilm, gab dem Bayerischen Rundfunk gegenüber einen Cyberangriff bekannt.

Der Angriff legte offenbar die Festnetz- Und Mailverbindungen lahm. Der Kundenservice und weitere Unternehmensbereiche waren nicht erreichbar via Telefon und E-Mail. Auch der Elternservice ist betroffen und für Kunden nicht verfügbar, weder telefonisch noch per Mail. Man kann derzeit den Service „Fragen rund um das Baby“ über den Live-Chat und die Plattform Facebook nutzen.

Die Herstellung ist von dem Angriff der Cyberkriminellen mit betroffen, daher konnte ein Teil der über 1000 Mitarbeiter in den letzten Tagen nicht arbeiten.

Über die Dimension des Angriffs und ob das Unternehmen erpresst wird, gibt es im Moment noch keine Auskunft. Die Zentralstelle Cybercrime Bayern wurde eingeschaltet, es gibt zu diesem Zeitpunkt noch keine aktuelle Pressemitteilung. Die Bestätigung, dass wegen Computer-Sabotage ermittelt wird, kam vom Polizeipräsidium Oberbayern Nord.


Wirtschaft, Politik und Kultur

Android-Spyware "RatMilad" hat es auf Unternehmensgeräte im Iran abgesehen

Die Forscher, des auf mobile Sicherheit spezialisierten Unternehmens Zimperium, fanden kürzlich eine neue Android-Spyware-Familie, die mittlerweile „RatMilad“ genannt wurde. Die Spyware hat es auf mobile Geräte von Firmen aus dem Nahen Osten abgesehen. Auf diese Erkenntnis begann das Team des zLabs von Zimperium, mit der Überwachung der kriminellen Aktivitäten.

RatMilad versteckte sich in seiner Urprungsversion hinter einer VPN- und Spoofing-App namens „Text Me“. Über Links in den sozialen Medien, werden die Spoofing-Apps verbreitet mit dem Zweck, dass die Opfer das gefälschte Toolset laden. Nichtsahnend aktivieren die Anwender wichtige Berechtigung im Glauben eine harmlose App zu nutzen. Anschließend wird die neuartige Spyware RatMilad ohne das Wissen der Opfer per Sideloading installiert. Der Angreifer bekommt dadurch beinahe vollständigen Zugriff auf das Gerät: Kontakte, Anrufprotokolle, Medien, Dateien, Standortdaten des Gerätes als auch SMS-Nachrichten. Durch diese Technik kann der Cyberkriminelle Anrufe senden und anzeigen.

Die Spyware wurde in keinem Android Store gefunden, sie wurde von den Forschern auf einer On-Device-Machine-Learning-Malware-Engine entdeckt, welche unter anderem zur Erkennung von Malware-Bedrohungen genutzt wird.

Es gibt Beweise, dass die Angreifer die App durch Social Engineering, auf Messenger Diensten wie Telegram verbreiteten, um die Zielpersonen zum Slideloading der Malware zu bewegen.

Durch die Installation und das Erlangen der Kontrolle über das Gerät, konnten die Angreifer auf die Kamera zugreifen um dann Fotos, Videos und Audioaufnahmen zu machen.

Phishing-Angriff auf McDonalds und KFC

Durch einen erfolgreichen Phishing-Angriff auf Kunden der Fastfoodketten McDonalds und Kentucky Fried Chicken, haben Cyberkriminelle, Zahlungsinformationen von Kunden abgegriffen. Betroffene Länder waren die Vereinigten Arabischen Emirate, Singapur und Saudi-Arabien.

Die Sicherheitsforscher von CloudSEK entdeckten eine Domain, die scheinbar der Google Play Store war und eine schädliche, browserbasierte Anwendung für Chrome anzeigte.

Sobald die Fake URL, in Erscheinung des Google Playstores, aufgerufen wurde und die Download-Schaltfläche geklickt wurde, ändert sich der Text auf der Schaltfläche in "Installieren" um. Der Benutzer wurde aufgefordert die Browsererweiterung "KFC Saudi Arabia 4+" zu installieren.

Die Desktop Verknüpfungen führten die Kunden direkt auf die gefälschten und bösartigen Seiten, die nur darauf angelegt waren, die Kartendaten der Opfer zu stehlen.

Ein Pop-up-Fenster, das bei einer Bestellung erscheint, forderte die Kunden der Fastfoodketten zur Eingabe ihrer Daten auf.

Es wurden nur Zahlungskartendaten akzeptiert, die dem Luhn-Algorithmus entsprachen. Dadurch konnte die Gültigkeit der eingegeben Zahlen überprüft werden. Nachdem die Eingabe der Kartendaten erfolgt war, wurden die Geschädigten per SMS aufgefordert ein On Time Password (OTP) einzugeben. Nach diesen Vorgängen wird der Kunde auf die vermeintlich originale Webseite weitergeleitet.

Die gestohlenen Zahlungsinformationen werden im Regelfall, von den Angreifern im Dark Web verkauft, unter anderem für Zwecke wie Bankbetrug und Identitätsdiebstahl.


Wie wir an den Phishing Angriffen auf die Kunden der Fastfood-Ketten McDonalds und KFC, sowie an der Spyware Kampagne "RatMilad" sehen, sind nur Unternehmen und Mitarbeiter gleichermaßen wie Privatpersonen gerne das Ziel dieser Angreifer.

Um sowohl privat als auch im Arbeitsalltag auf solche Gefahren vorbereitet zu sein, empfehlen wir Unternehmen unseren Security Awareness Kurs für Mitarbeiter. Mit diesem Kurs sind Mitarbeiter fortlaufend gegen die üblichen Gefahren geschult und gewappnet. Hier Anfragen!


Das wars für diese Woche, wir sehen uns nächste Woche wieder mit den Weekly Infosec News.

Abonniere die Weekly News als Newsletter, auf unserem Youtube Channel oder als Podcast.