Bösartige IT-Dienstprogramm-Anzeigen: Wie Hacker über gefälschte Installer in europäische Unternehmen eindringen
Anfang 2026 sahen sich europäische Organisationen einer neuen Welle von Cyberangriffen gegenüber, bei denen Angreifer bösartige Anzeigen in Suchmaschinen nutzen, um die als legitime IT-Tools getarnte Hintertür SmokedHam zu verbreiten. In einigen Fällen gipfelt der Angriff in der Bereitstellung der Ransomware Qilin. Orange Cyberdefense-Experten bringen die Kampagne mit der Gruppe UNC2465 in Verbindung, die zuvor für Angriffe mit DarkSide, LockBit und Hunters International bekannt war.
Angriffsmechanismus: Von Anzeigen zur vollständigen Kontrolle
Der Angriff beginnt mit dem Kauf von Suchmaschinenanzeigen, die gefälschte Downloadseiten für gängige Systemadministrator-Dienstprogramme bewerben. Ein Benutzer, der beispielsweise nach RVTools oder Remote Desktop Manager sucht, könnte auf eine Anzeige klicken und einen bösartigen Installer herunterladen. Nach der Ausführung wird die Hintertür SmokedHam auf dem Gerät geladen, die Angreifern Fernzugriff gewährt.
In einem von Orange Cyberdefense untersuchten Vorfall führte die Infektion zur Bereitstellung des Qilin-Verschlüsselers. Die Betreiber verwendeten ausgeklügelte Tarnmethoden: Sie setzten zwei verschiedene Mitarbeiterüberwachungslösungen ein, mischten bösartige Aktivitäten mit legitimen Verwaltungstools (PuTTY, Kitty, Zoho Assist, Total Commander) und nutzten Cloudflare Workers sowie Standard-AWS-Endpunkte, um den Datenverkehr zu verschleiern.
SmokedHam: Entwicklung einer Hintertür
Orange Cyberdefense-Analysten untersuchten über 30 SmokedHam-Proben, die in den Jahren 2025–2026 gesammelt wurden. Sie stellten fest, dass die Betreiber das Werkzeug ständig modifizieren: Bereitstellungsmethoden, Persistenztechniken und ausgenutzte Schwachstellen ändern sich im Laufe der Zeit. Dies deutet auf eine hohe Gruppenaktivität und kontinuierliche Verfeinerung ihres Arsenals hin. Die Hintertür kann zusätzliche Module laden, was Flexibilität bei der Durchführung von Angriffen bietet.
Wer steckt hinter den Angriffen: Die Gruppe UNC2465
Mit mäßiger Sicherheit bringt Orange Cyberdefense die Kampagne mit UNC2465 in Verbindung. Diese Gruppe oder ein damit verbundener Partner war zuvor an Angriffen mit bekannten Ransomware wie DarkSide, LockBit und Hunters International beteiligt. Die Schlussfolgerung basiert auf überlappenden Taktiken, Techniken und Infrastruktur. Die Angreifer zielen aktiv auf europäische Organisationen ab, wie die geografische Verteilung der Vorfälle von Februar bis April 2026 belegt.
Wichtige Punkte
- Bösartige Anzeigen in Suchmaschinen sind ein effektiver erster Eindringvektor in europäische Unternehmen.
- Die Hintertür SmokedHam wird als legitime IT-Dienstprogramme (RVTools, Remote Desktop Manager, PuTTY) getarnt verbreitet.
- In einigen Angriffen folgt auf SmokedHam die Bereitstellung des Qilin-Verschlüsselers.
- Die Betreiber verwenden mehrere Tarnschichten: legitime Verwaltungstools, Cloudflare Workers, AWS.
- Die Gruppe UNC2465, die mit früheren Ransomware-Angriffen in Verbindung gebracht wird, steht wahrscheinlich hinter der Kampagne.
Kontext und Auswirkungen
Die Verwendung von Malvertising zur Verbreitung von Malware ist keine neue Taktik, aber ihre Wirksamkeit nimmt aufgrund der Möglichkeit zu, bestimmte Berufsgruppen gezielt anzusprechen. Systemadministratoren und IT-Profis, die nach Arbeitstools suchen, werden zu vorrangigen Zielen. Da Angriffe auf europäische Organisationen abzielen, müssen Unternehmen die Downloadkontrollen verschärfen, Multi-Faktor-Authentifizierung implementieren und Mitarbeiter darin schulen, verdächtige Anzeigen zu erkennen.
Zum Schutz wird empfohlen, offizielle Downloadquellen zu verwenden, digitale Signaturen von Installern zu überprüfen und Administratorrechte einzuschränken. Es ist auch wichtig, den Netzwerkverkehr auf verdächtige Verbindungen über Cloudflare Workers oder AWS zu überwachen.
— Editorial Team
Noch keine Kommentare.