Cyberkriminelle haben eine bösartige Malvertising-Kampagne für Cisco AnyConnect erstellt. Das Tool, wird häufig von Angestellten verwendet, um sich aus der Ferne mit Unternehmensnetzwerken zu verbinden, aber auch von Universitäten. Die bösartige Google-Anzeige leitet auf eine geklonte Website der TU Dresden.
Das Threat-Intelligence-Team von Malwarebytes hat eine Malvertising-Kampagne für den VPN-Client Cisco AnyConnect entdeckt. Die Kampagne wurde für das Keyword „cisco annyconnect“ in der Google-Suche eingestellt und leitet Opfer auf die vertrauenswürdig klingende Domain annyconnect-secure-client[.]com. Die Downloaddatei des vermeintlichen VPN-Clients auf der Fake-Seite enthält jedoch den NetSupport RAT (Remote Access Trojan).
Klon der Website der TU Dresden, der in der Malvertising-Kampagne verwendet wurde. (Bild: Malwarebytes)
Opfer werden auf Fake-Seite weitergeleitet
Sobald jemand auf die bösartige Google-Anzeige klickt, entscheiden die Server der Malvertising-Kampagne anhand der IP-Adresse und der Netzwerkeinstellungen, ob es sich um ein potenzielles Opfer oder beispielsweise einen Crawler handelt. Während potenzielle Opfer die Fake-Seite von Cisco mit dem Downloadlink zu sehen bekommen, wird allen anderen eine sogenannte „white page“ ausgespielt. Im Fall dieser Kampagne handelt es sich dabei um einen Klon einer Webseite der Technischen Universität Dresden. Diese soll von den kriminellen Absichten der Hintermänner der Kampagne ablenken.
Direkt zum Bericht auf Malwarebytes.com
Über Malwarebytes Malwarebytes schützt Privatanwender und Unternehmen vor gefährlichen Bedrohungen, Ransomware und Exploits, die von Antivirenprogrammen nicht erkannt werden. Malwarebytes ersetzt dabei vollständig andere Antivirus-Lösungen, um moderne Cybersecurity-Bedrohungen für Privatanwender und Unternehmen abzuwenden. Mehr als 60.000 Unternehmen und Millionen Nutzer vertrauen Malwarebytes innovativen Machine-Learning-Lösungen und seinen Sicherheitsforschern, um aufkommende Bedrohungen abzuwenden und Malware zu beseitigen, die antiquierte Security-Lösungen nicht entdecken. Mehr Informationen finden Sie auf www.malwarebytes.com.
Passende Artikel zum Thema