Ein neuer Bericht der CTM360 Intelligence-Firma zeigt eine aktive Kampagne, die das Ökosystem von Google nutzt, um Malware zu verbreiten und die Kontrolle von Unternehmenskonten zu übernehmen. Laut der von CTM360 veröffentlichten Analyse haben Angreifer Tausende von Gruppen auf Google Groups und Hunderte von Links, die in Google-Diensten gehostet werden, um Vertrauen zu gewinnen und Tools zu verbreiten, die darauf ausgelegt sind, Anmeldeinformationen zu stehlen und dauerhaften Zugang zu betroffenen Teams zu erhalten. Sie können den vollständigen Bericht auf der CTM360 Website sehen: https: / / www.ctm360.com / Berichte / ninja-browser-lumma-infostealer.
Social Engineering ist der Ausgangspunkt: Betreiber infiltrieren Foren und thematische Gruppen, in denen legitime technische Fragen diskutiert werden und veröffentlichen Einträge, die wie nützliche Lösungen oder Downloads aussehen, einschließlich Firmennamen und Schlüsselwörter des Sektors, um Echtheit zu geben. In diesen Threads setzen sie verkleidete Links - zum Beispiel Einladungen zum "Download" angeblich spezifische Werkzeuge für eine Organisation - und verwenden kürzere oder in Docs und Drive gehostete Leser, um Filter zu umgehen und die letzte Lieferkette zu verbergen.
In Windows-Computern führte der Download zu einer passwortgeschützten komprimierten Datei. Beim Dekomprimieren täuscht das tatsächliche Volumen der Datei die Detektionsmotoren: Der Behälter kann sich auf fast einen Gigabyte erweitern, aber die schädliche Komponente nimmt nur einen Bruchteil ein (nach CTM360, ca. 33 MB), während der Rest mit Nullbytes gefüllt ist, um es schwierig zu machen, statische zu scannen. Bei der Ausführung baut der Installer fragmentierte Binaries wieder auf und startet eine mit AutoIt kompilierte Komponente, die eine Last im Speicher entschlüsselt. Das beobachtete Verhalten stimmt mit dem von einem kommerziellen Infostealer bekannt als Lumma überein, der auf Browser-Anmelde- und Sitzungs-Cookies verweist, Shell-Befehle und Exfilters-Daten mit HTTP-POST-Anforderungen zur Steuerung und Steuerung von von von Forschern identifizierten Servern durchführt. CTM360 bietet Indikatoren wie zugehörige Domains und Hashes, die die Erkennung und Sperrung dieser Infrastruktur ermöglichen.
Für Linux-Nutzer hat die Falle eine andere Seite: Anstelle eines stark gefüllten ZIP werden die Opfer gerichtet, einen modifizierten Chromium-Browser unter der Marke "Ninja Browser" zu installieren. Auf den ersten Blick verspricht es Privatsphäre und Anonymität, aber im Hintergrund integriert es schädliche Erweiterungen, die ohne die Zustimmung des Benutzers und versteckte Mechanismen installiert werden, um die Präsenz des Angreifers im System zu erhalten. Eine dieser Erweiterungen, analysiert von CTM360, fungiert als Tracking- und Handling-Agent: Er gibt Benutzern eindeutige Kennungen zu, injiziert Skripte in Web-Sessions, verwaltet Tabs und Cookies und lädt Remote-Contents unter Verwendung von stark verdecktem JavaScript herunter.
Die Forscher fanden auch programmierte Aufgaben, die täglich kontrollierte Server, stille Update-Prozesse und Umleitungen zu verdächtigen Suchmaschinen konsultieren, was eine Architektur für zukünftige Entwicklungen des Angriffs vorschlägt. Die mit dem Projekt verbundenen Domänen umfassen Varianten im Zusammenhang mit "ninja-browser", und CTM360 listet auch IP-Adressen und eine C2-Domain (z.B. healgeni [.] live) auf, die Sicherheitsteams erlauben, bösartige Aktivität zu blockieren und zu verfolgen.
Diese Art von Kampagne passt in einen Trend, der bereits mehrere Akteure des Sicherheitssektors dokumentiert hat: Der Missbrauch von legitimen Plattformen und Cloud-Diensten zur Verbreitung von schädlichem Code reduziert Reibung und nutzt die Vermutung von Benutzervertrauen und Filtern. Vom Phishing mit auf Google Drive gehosteten Dokumenten bis hin zu nützlichen Gebühren, die auf legitimen Archivierungsdiensten ruhen, erschwert die Nutzung der "Trust"-Infrastruktur die traditionelle Erkennung; es ist ein Muster, das bei früheren Vorfällen beobachtet wurde und dass Sicherheitsanalysten in den letzten Jahren warnen, wie sich in spezialisierten Presseberichten und der technischen Analyse von Cloud-Service-Misbrauch widerspiegelt (siehe zum Beispiel die allgemeine Folge von dieser Art von Angriffen KrebsÜberSicherheit)
Aus technischer Sicht sind die Techniken, die von den Betreibern verwendet werden - das Pating von Binaries, um Analyse zu vermeiden, Rekonstruktion in der Zeit der Ausführung mit AutoIt und Lasten im Speicher - nicht neu an sich, aber ihre Kombination mit der Sichtbarkeit, die es bietet, Elemente in Domänen und seriösen Diensten aufzunehmen, macht sie effektiv. Sicherheitsunternehmen wie ESET haben dokumentiert, wie AutoIt und andere Skriptsprachen missbraucht werden, um schädliche Lasten zu packen und auszuführen, und daher sollten Antwortteams auf Leistungsindikatoren und nicht statische Signale aufmerksam sein: WeLiveSecurity / ESET liefert nützliche Erläuterungen zu diesen Techniken.
Die Folgen für Organisationen können ernst sein: Die Diebstahl von Anmelde- und Sitzungstoken erleichtert die Entführung von Konten, Finanzbetrug und laterale Bewegung innerhalb von Unternehmensnetzwerken, während Komponenten installiert wütend als Hintertüren für zukünftige Operationen funktionieren können. Deshalb sollten Sicherheitsteams technische Maßnahmen und Schulungen kombinieren: Überprüfung von Umleitungsketten (insbesondere durch Docs / Drive), Block-Eingriffsanzeigen auf Firewall- und EDR-Ebene, Audit-Browsererweiterungen und Überwachung der Erstellung von geplanten Aufgaben oder ungewöhnlichen Prozessen in Endpunkten. CTM360 schlägt eine ähnliche Aktion vor und veröffentlicht IoC, die ihre Aufnahme in Erkennungsregeln erleichtern; der Bericht ist verfügbar unter: CTM360 - Ninja Browser & Lumma Infostealer.
Um diese Empfehlungen in allgemeiner guter Praxis kontextualisieren zu können, sollten Identitäts- und Zugangsmanager den Anmeldeschutz und die Erkennung von Missbrauchshinweisen für öffentliche Rechnungen überprüfen, wie beispielsweise die von Microsoft in ihren technischen Identitätsschutzdokumenten bereitgestellten, und gegebenenfalls risikobasierte Zugangskontrollen und Multifaktorauthentifizierung anwenden. Microsofts Richtlinien zur Verteidigung gegen Anmeldeinformationen Diebstahl und Identitätsmanagement sind ein guter Ausgangspunkt: Microsoft - Identitätsschutz. Darüber hinaus sollten Benutzer praktische Schulungen erhalten, um Anzeichen von Betrug in öffentlichen Foren zu erkennen und die Installation von Software aus nicht verifizierten Quellen zu vermeiden; Bewusstseinsmaterialien und Phishing Übungen helfen, die Wahrscheinlichkeit dieser Art von Lure erfolgreich zu sein.
Auf betrieblicher Ebene ist die Einbeziehung der Überwachung externer Bedrohungen, die Foren, Seiten und Hosting-Dienste von Drittanbietern überwachen, zunehmend notwendig. Tools, die Änderungen in markenbezogenen Domains, das Auftreten von verdächtigen Downloads oder die Verwendung von legitimen Dienstleistungen zur Umleitung von schädlichem Verkehr zu erkennen, bringen vorzeitige Sichtbarkeit. CTM360 hält zusammen mit anderen Geheimdienstanbietern aktuelle Domänenlisten, PIs und Hashes im Zusammenhang mit dem Angriff; sein Bericht enthält Daten, die in Blockierungslösungen und auffällige Antwortprozesse integriert werden können.
Die von CTM360 beschriebene Kampagne, die einen kommerziellen Infostealer mit einem geklemmten Browser und eine strategische Nutzung von Vertrauensdiensten kombiniert, erinnert daran, dass die moderne Sicherheit sowohl die Technik als auch den menschlichen Faktor erfordert. Die Aufrechterhaltung von Kommunikationskanälen mit Sicherheitsanbietern, die schnelle Verteilung von Verpflichtungsindikatoren und die Stärkung der digitalen Hygiene der Nutzer sind Maßnahmen, die die Auswirkungen solcher Angriffe reduzieren. Für diejenigen, die die Ergebnisse vertiefen und die von den Forschern bereitgestellten IoC nutzen möchten, ist der ursprüngliche Bericht auf der CTM360 Website verfügbar: https: / / www.ctm360.com / Berichte / ninja-browser-lumma-infostealer.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...