Anwaltskanzleien im Visier von Malware-Kampagnen GootLoader und FakeUpdates

Zwei Kampagnen gestartet

Anwaltskanzleien im Visier von Malware-Kampagnen GootLoader und FakeUpdates

Anwaltskanzleien sind eines der Hauptziele für Cyberkriminelle, da sie Zugang zu sensiblen Informationen haben. Nach Angaben des Cybersecurity-Unternehmens eSentire waren im Januar und Februar 2023 sechs verschiedene Anwaltskanzleien Ziel von zwei separaten Angriffskampagnen, bei denen die Malware GootLoader und SocGholish eingesetzt wurde. Bei den Angriffen wurden ausgeklügelte Techniken eingesetzt, um in die Netzwerke und Systeme der Anwaltskanzleien einzudringen.

GootLoader ist ein Downloader, der erstmals Ende 2020 identifiziert wurde und seitdem für eine Vielzahl von sekundären Infizierungen wie Cobalt Strike und Ransomware verwendet wird. Die Malware nutzt Suchmaschinenoptimierung (SEO), um Opfer, die nach geschäftsrelevanten Dokumenten suchen, auf Drive-by-Download-Seiten umzuleiten, die die JavaScript-Malware enthalten.

Bei der ersten Kampagne infizierten die Angreifer anfällige WordPress-Webseiten, um neue Blog-Einträge hinzuzufügen, die juristische Schlüsselwörter enthielten. Die infizierten Blogs dienten dazu, juristische Rekruten anzulocken und die Platzierung der Webseiten in den Suchmaschinen zu verbessern. Die Opfer wurden dann auf ein gefälschtes Forum umgeleitet, wo sie die angebliche Vertrags- oder Vertragsvorlage herunterladen konnten, bei der es sich aber in Wirklichkeit um GootLoader handelte.

Die Malware SocGholish, auch bekannt als FakeUpdates, fand in der zweiten Kampagne Anwendung. Sie wurde von den Angreifern genutzt, um Mitarbeiter von Anwaltskanzleien und andere Geschäftsleute anzugreifen. Sie ermöglicht den Angreifern das Auskundschaften der Umgebung und Starten weiterer Nutzlasten wie Cobalt Strike und die LockBit-Ransomware.

Die Angriffe wurden mithilfe von infizierten Domänen bewerkstelligt, darunter die Webseite eines Notariats in Miami. Auf der gehackten Webseite wurde anstelle der Empfehlung zum Aktualisieren des Chrome-Browsers der SocGholish-Virus bereitgestellt. Die Betreiber von SocGholish infizieren eine große Anzahl von Webseiten mit geringerem Besucheraufkommen, um Zugang zu hochwertigen Zielen wie Anwaltskanzleien zu bekommen.

Sensible Informationen über Kunden, Personen und Nutzer sind ein attraktives Ziel für Hacker und andere Cyberkriminelle. Kampagnen, bei denen solche Informationsdiebe verbreitet werden, kommen häufig vor. Weitere Angriffe auf bestimmte Unternehmen wie Google oder soziale Medien können Nutzerdaten offenlegen und zu direktem Betrug führen.

Schwerpunkt Spionage

Die Angriffe auf Anwaltskanzleien, bei denen die Malware GootLoader und SocGholish eingesetzt wurde, sind besorgniserregend, da sie offenbar eher auf Spionage als auf finanziellen Gewinn ausgerichtet sind. Die Angreifer setzten keine Ransomware ein, sondern zogen es vor, selbst aktiv zu werden. Dies deutet darauf hin, dass die Angriffe auch auf Cyberspionage abzielen könnten. Der eSentire-Forscher Keegan Keplinger stellte außerdem fest:

Vor 2021 waren E-Mails der primäre Infektionsvektor, der von opportunistischen Bedrohungsakteuren genutzt wurde. Von 2021 bis 2023 nehmen browserbasierte Angriffe stetig zu und konkurrieren mit E-Mails als primärem Infektionsvektor.

Dieser Trend ist vor allem GootLoader, SocGholish, SolarMarker und anderen jüngeren Kampagnen zu verdanken, die Google Ads nutzen, um oben auf den Suchergebnissen zu gelangen.

Abgesehen vom potenziellen Verlust sensibler Daten könnten Anwaltskanzleien und andere Unternehmen, die Ziel von Malware-Angriffen sind, mit ernsthaften rechtlichen Konsequenzen rechnen. GootLoader nutzt betrügerische SEO-Praktiken, um eine Seite in die relevanten Google-Suchergebnisse zu bringen, wodurch Webseiten, die auf andere Webseiten angewiesen sind, der Gefahr von Malware-Angriffen ausgesetzt sind.

Das Problem besteht darin, dass der bösartige Downloader Webseiten so verändert, dass sie verschiedene Webseiten anbieten, wann immer der Link angeklickt wird und so die Besucher die Webseite anders als erwartet wahrnehmen. Dies kann zu empfindlichen Geldstrafen und dem Risiko potenzieller Phishing-Versuche führen, da GootLoader Nutzer auf eine Seite schickt, die als „Falle“ oder „Köder“ für leichtgläubige verwendet werden könnte.

Zu ergreifende Maßnahmen

Um GootLoader und anderen Malware-Angriffen vorzubeugen, müssen Unternehmen Präventivmaßnahmen ergreifen, wie z.B. das Vermeiden des Herunterladens von infizierten Plugins, insbesondere das GootLoader-Plugin selbst.

Zur Vorbeugung von Angriffen auf das CMS und der Webseiten gehört es auch, auf Warnhinweise zu achten, wie z.B. das Ausführen einer JavaScript-Datei von Wscript und eine Datei namens „agreement.js“ (für Nutzer von englischen Webseiten). Darüber hinaus müssen Unternehmen ihre Software auf dem neuesten Stand halten, die Zwei-Faktor-Authentifizierung konfigurieren und angemessene Sicherheitsprotokolle implementieren.

Zusammenfassend lässt sich sagen, dass Anwaltskanzleien und Unternehmen angesichts der wachsenden Bedrohung durch Malware-Angriffe wachsam bleiben müssen. Die GootLoader- und SocGholish-Kampagnen zeigen die potenziellen Gefahren, die von solch hochentwickelten Malware-Stämmen ausgehen.

Über den Autor
Gabriel E. Hall
Gabriel E. Hall - Leidenschaftliche Internetforscherin

Gabriel E. Hall ist eine leidenschaftliche Schadsoftware-Forscherin, die seit fast einem Jahrzehnt bei DieViren tätig ist.

Gabriel E. Hall kontaktieren
Über die Firma Esolutions