Sportliche Großereignisse ziehen weltweit nicht nur Zuschauer in ihren Bann, sondern bringen auch Malware-Akteure auf den Plan. Bereits im Vorfeld der Sommerspiele 2020 hatte der für IT-Sicherheit zuständige externe Berater, Toshio Nawa, vor Cyber-Angriffen gewarnt. Durch die besondere Situation einer Olympiade ohne Zuschauer vor Ort war online-Streaming eine Möglichkeit für Sportinteressenten weltweit, Entscheidungen am Bildschirm mitzuverfolgen.
Die Sicherheitsforscher von Zscaler haben während der nachgeholten Sommerolympiade das Malwareaufkommen analysiert und haben allerlei schädliche Software, von Coinminers bis zu Ransomware, gefälschten Streaming-Webseiten und Adware entdeckt. Die gefälschten Seiten dienten neben Diebstahl von Information auch Scamming-Attacken und Adware verleitete die Anwender zur Installation irrelevanter Browser-Erweiterungen, wie dem bekannten Browser-Hijacker YourStreamSearch oder OlympicDestroyer, der zum Diebstahl von Anmeldeinformationen auf der Maschine des Opfers eingesetzt wird. Die meisten der beobachteten Streaming-Transaktionen kamen in Europa aus Deutschland mit 8,6 Prozent und Frankreich mit 8,3 Prozent Anteil am weltweiten untersuchten Traffic.
Deepen Desai, CISO und VP Security Research erklärt: „Online-Streaming ist beliebter als je zuvor und angesichts globaler Ereignisse, wie der Olympischen Spiele, ist es für die Zuschauer wichtig, die ernsten Auswirkungen potenzieller Bedrohungen zu erkennen. Da viele dieser Online-Streaming-Zuschauer gewöhnliche Arbeitnehmer sind, die aufgrund der Pandemie von zu Hause arbeiten, sind Online-Veranstaltungen ein Hauptziel für Hacker.“
Die gefälschten Streaming-Dienste sollten nicht mit den offiziellen Streaming-Anbietern rund um die Sportereignisse verwechselt werden. Die Fälschungen versprechen kostenlosen Zugang und fordern trotzdem Anmeldeinformationen zu Bezahlsystemen ein. Die benutzen Templates der gefälschten Seiten wurden bereits im Zusammenhang mit Großereignissen, wie der NBA oder Football beobachtet.
Das ist OlympicDestroyer
Bei der entdeckten Adware handelte es sich um angeblich kostenlose Streaming-Dienste, die Benutzer stattdessen auf Webseiten für Glücksspiel, Autohandel usw. umleiteten. Benutzer wurden zur Installation von Adware in Form von Browser-Erweiterungen genötigt, die sie zu gefälschten Software-Updates führten. Im Fall von olympicstreams[.]me werden die Benutzer zur Installation der YourStreamSearch-Browser-
OlympicDestroyer ist eine hochentwickelte Malware, die erstmals während der Winterspiele 2018 in Südkorea beobachtet wurde. Die Malware kompromittierte die offizielle Webseite der Spiele und beeinträchtigte den Verkauf von Tickets. Im Kern handelt es sich bei OlympicDestroyer um einen Wurm, der sich über Windows-Netzwerkfreigaben verbreitet. Die Malware legt mehrere eingebettete und verschleierte Dateien auf dem Computer des Opfers ab, die versuchen Browser- und Systemanmeldeinformationen zu stehlen.
Ein interessantes Verhalten besteht darin, dass OlympicDestroyer auf der Grundlage der erlangten Anmeldeinformationen verschiedene Binärdateien erzeugen kann. Dies hat zu vielen Variationen geführt, welche dieselbe Aufgabe erfüllen. Neben dem Sammeln von Anmeldeinformationen versucht die Malware, den Zielcomputer zu deaktivieren, indem sie mit cmd.exe unter anderem Backups deaktiviert, Boot-Richtlinien bearbeitet und Ereignisprotokolle löscht, was ein Zurücksetzen des betroffenen IT-Systems erschwert.
Deepen Desai empfiehlt Unternehmen mit Home-Office Mitarbeitern: „Um das Risiko solcher Angriffe zu verringern, ist es wichtig, konsistente Sicherheitsrichtlinien durchzusetzen, unabhängig davon, wo sich die Benutzer befinden. Sie sollten darüber hinaus eine Zero-Trust-Architektur einführen, um den möglichen Schaden zu begrenzen, wenn ein System kompromittiert wird. Zusätzliche Sicherheitsvorkehrungen, wie die Durchsetzung einer Multi-Faktor-Authentifizierung, die rechtzeitige Durchführung von Sicherheitsupdates oder die Erstellung von Backups, sind unerlässlich, um Ihre Geschäftsabläufe widerstandsfähig gegen Cyber-Angriffe zu machen.“
www.zscaler.com