Veröffentlicht am: 02.04.2025 um 08:02 Uhr:
Internet: Vertrauenswürdige Subdomains lassen Cyberangriffe seriös erscheinen
» Cyberkriminelle verändern ihre Strategien. Statt Malware- und Phishing-Kampagnen über kompromittierte Server und Websites laufen zu lassen, missbrauchen sie verstärkt reguläre Infrastruktur-Services. Ein Beispiel dafür ist blogspot.com, der kostenlose Domain-Service von Google für Blogger. Auf ihm hosteten Autoren der Agent-Tesla-Malware ihre Stage Payloads. Ein weiteres Beispiel liefert Trycloudflare.com. So verwendeten Hacker den temporären Cloud-Tunnel-Service von Trycloudflare zur Installation von RAT-Malware (Remote Access Trojan) wie AsyncRAT, Remcos-RAT und XWorm. Die Snakekeylogger-Malware-Kampagne wiederum nutzte das Content Delivery Network Discord CDN zum Hosten bösartiger Dateien.
Auch von Secureserver.net machen Cyberkriminelle regen Gebrauch. Von dort ging beispielsweise der Ursprung einer Malware-Kampagne aus, die es hauptsächlich auf Finanzinstitute in Südamerika abgesehen hatte. Malware wie Grandoreiro und NetSupport RAT nutzten ebenfalls diese Plattform. Am Beispiel von Secureserver.net lässt sich eindrucksvoll aufzeigen, welche Größenordnung der Wechsel von Hackern zu legitimen Services inzwischen angenommen hat. So fing der Cybersecurity-Spezialist Forcepoint allein in den vier Monaten von Juni bis September 2024 über 3,7 Millionen verdächtige E-Mails ab, die Secureserver.net-URLs enthielten.
[...] «
Quelle und vollständiger Artikel: Gastbeitrag von Fabian Glöser auf https://www.security-insider.de/cyberkriminelle-nutzen-legitime-infrastruktur-dienste-zur-tarnung-a-a3e339d282ebf21b19b69bb09099cae8/ vom 25. März 2025