Phishing, Malware, Sicherheitslücken

Wie Kriminelle die Unachtsamkeit der Anwender von Videokonferenzdiensten ausnutzen

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Aufgrund der Ausgangsbeschränkungen zur Eindämmung des Coronavirus verwenden deutlich mehr Menschen Dienste für Videokonferenzen, um mit Familie und Freunden oder mit Geschäftspartnern persönlich in Kontakt zu bleiben. Das nutzen erwartungsgemäß auch Cyberkriminelle aus.
Cyberkriminelle nutzen die Leichtgläubigkeit der unerfahrenen Video-Konferenz-Teilnehmer.
Cyberkriminelle nutzen die Leichtgläubigkeit der unerfahrenen Video-Konferenz-Teilnehmer.
Foto: Who is Danny - shutterstock.com

Im Zuge der Maßnahmen gegen das Coronavirus ist die Nutzung von Videokonferenzen stark angestiegen. Anbieter wie Microsoft oder Zoom meldeten bereits im März 2020 dreistellige Zuwachsraten. Viele Menschen entdecken bei der Arbeit im Homeoffice oder als Ersatz für den direkten Kontakt zu Kunden, Lieferanten und Geschäftspartnern Videokonferenzen gerade erst für sich und sind bei der Nutzung noch unerfahren.

Neben den Tücken der Systeme und Dienste in Bezug auf Datenschutz und Sicherheit, für die besonders Zoom viel berechtigte Kritik einstecken musste, sehen aber auch Kriminelle gute Chancen, im Kielwasser des Erfolgs der Videokonferenzanbieter im Trüben zu fischen. Dazu setze sie überwiegend auf bewährte Angriffsmethode und verpacken die lediglich thematisch neu.

Gerade bei unerfahrenen Anwendern sind sie damit erfolgreich. Andererseits entwickeln sie aber auch neue Methoden oder greifen die Dienste jetzt, da sie aufgrund er rasch gestiegenen Nutzerzahlen attraktivere Opfer wurden, erstmals gezielt an.

Screenshot einer Phishing-E-Mail, für die die Absender die Bekanntheit von Cisco WebEx missbrauchen. In der E-Mail wird behauptet, eine kritische Sicherheitslücke müsse durch ein Update behoben werden.
Screenshot einer Phishing-E-Mail, für die die Absender die Bekanntheit von Cisco WebEx missbrauchen. In der E-Mail wird behauptet, eine kritische Sicherheitslücke müsse durch ein Update behoben werden.
Foto: Proofpoint

Beispielsweise berichtet Security-Anbieter Proofpoint gleich von einer ganzen Reihe von Kampagnen, mit den Angreifer Anwender davon bringen wollen, mit Schadsoftware infizierte Dokumente zu öffnen oder eine mit Malware verseuchte Website zu besuchen. Dazu erstellen Sie zum Beispiel Webseiten, die denen der seriösen Anbieter täuschend ähnlich sehen und über die sie Anmeldedaten abgreifen wollen. Damit waren sie offenbar schon tausendfach erfolgreich: Mitte April 2020 wurde bekannt, dass im Darknet über 500.000 Zugangsdaten für Zoom angeboten werden.

Auch lesenswert: Profitipps für Videokonferenzen im Homeoffice

"Besonders auffällig sind dabei E-Mails, beispielsweise zu Zoom und Cisco Webex, die entweder die Nutzer vor einer Limitierung des Zugangs aufgrund einer angeblichen Schwachstelle der Applikation warnen oder über ein vorgeblich verpasstes Meeting informieren", teilt Proofpoint mit.

Screenshot einer Phishing-E-Mail, die auf ein angeblich verpasstes Zoom-Meeting hinweist. Der Link verspricht dem Empfänger eine Aufzeichnung des Meetings. Tatsächlich führt er jedoch zu einer von den Kriminellen mit Malware verseuchten Website oder dient dazu, die Anmeldedaten abzugreifen.
Screenshot einer Phishing-E-Mail, die auf ein angeblich verpasstes Zoom-Meeting hinweist. Der Link verspricht dem Empfänger eine Aufzeichnung des Meetings. Tatsächlich führt er jedoch zu einer von den Kriminellen mit Malware verseuchten Website oder dient dazu, die Anmeldedaten abzugreifen.
Foto: Proofpoint

Die Security-Experten von Sonicwall warnen zudem vor einer aktuell verbreiteten Cryptomining-Software, die sich als Zoom-Installationsdatei ausgibt. Statt Videokonferenzen zu ermöglichen, greift die Malware jedoch auf die Ressourcen des befallenen Rechners zu, um Kryptowährungen zu schürfen.

Die für Phishing-Zwecke gefälschte Zoom-Anmeldeseite sieht der echten täuschend ähnlich.
Die für Phishing-Zwecke gefälschte Zoom-Anmeldeseite sieht der echten täuschend ähnlich.
Foto: Proofpoint

Der Trojaner nutzt das offizielle Zoom-Icon und wird als Autoit Compiled Installer ausgeliefert. Bei der Ausführung wird zwar auch der echte Zoom Installer im Verzeichnis %Temp%\Zoominstaller.exe abgelegt, gleichzeitig aber auch den Cryptominer im Ordner %Appdata%\Roaming\Microsot\Windows\helper.exe.

Mehr zum Thema: Anforderungen an professionelle Collaboration-Lösungen für KMU