Supportanfrage

Aufklärung zur Phishing Kampagne mit NetSupport Manager

von | 3.März 2020

Zuletzt aktualisiert am von ProSoft Redaktion

Beschreibung

Ausgangslage

Derzeit (Stand 03.03.2020) gibt es in den Security orientierten Blogs und Webseiten vermehrt Artikel zum Thema, dass das legitime und mit zahlreichen Preisen ausgezeichnete Fernwartungstool NetSupport Manager im Rahmen einer Phishing Kampagne zum Jahreswechsel 2019/2020 missbräuchlich eingesetzt wurde.

Aktuell (Stand 19.05.2020) warnt das Microsofts Security-Intelligence-Team, das seit April bereits mehrere Hundert einzigartige E-Mail-Anhänge mit COVID-19-Betreff entdeckt wurden, welche Excel 4.0-Makros für die Malware-Kampagne verwenden. Als Absender kommt der seriöse US-Think-Tank Johns Hopkins Center for Health Security zum Einsatz, der regelmäßige Updates über den Verlauf des Coronavirus veröffentlicht.

In beiden Fällen wird über ein Office Programm der Schadcode der Malware-Kampagne ausgeführt, im Rahmen dessen dann das Fernwartungstool NetSupport Manager missbräuchlich für den Verbindungsaufbau zum Rechner des Opfers einsetzt wird.

Wir wollen Ihnen in diesem Beitrag uns zur Verfügung stehenden Informationen an die Hand geben, damit Sie das Gefahrenpotential selbst einschätzen und den NetSupport Manager weiterhin beruhigt und zuversichtlich einsetzen können.


NortonLifeLock Phishing Scam

Das Fernwartungstool NetSupport Manager, das seit über 25 Jahren auf mehr als 12 Mio. Systemen weltweit zur Fehlerbehebung und technischen Unterstützung verwendet wird, wurde im Zeitraum 11/2019 bis 01/2020 von Cyberkriminellen missbräuchlich eingesetzt. Forscher in der Abteilung 42 von Palo Alto Networks hatten eine Spam-Kampagne entdeckt, die versuchte, ein bösartiges Microsoft Word-Dokument zu liefern, das sich als eine NortonLifeLock-geschützten Datei tarnte.

Untersuchungen zeigten, dass Hacker mit Hilfe des gefälschten NortonLifelock-Dokuments das Fernwartungstool NetSupport Manager installiert haben, um sich unbefugten Fernzugriff auf den Computer ihres Opfers zu verschaffen.

NortonLifeLock ist Teil von Symantec und bietet unter anderem ein Sicherheitsprogramm für kennwortgeschützte Anhänge an. Und ironischerweise ist NortonLifelock ein Cybersicherheitsunternehmen mit Sitz in den USA. Das bedeutet, dass Hacker eindeutig versuchten, sich als ein Unternehmen auszugeben, das die Benutzer im Wesentlichen vor solchen Aktivitäten schützt.


Durchführung

Wenn ein Empfänger das Dokument über Microsoft Office Outlook öffnet, erscheint eine Eingabeaufforderung, die den Benutzer auffordert, den Inhalt zu “aktivieren”, um das Dokument zu öffnen – durch Klicken auf “Ja” werden Makros ausgeführt.

NetSupport Manager als Phishing Tool 01

“Für den Benutzer scheint das Dokument persönliche Informationen zu enthalten, für deren Anzeige ein Passwort erforderlich ist”, so die Forscher in einer kürzlich durchgeführten Analyse. “Sobald das Dokument geöffnet wird und der Benutzer auf ‘Inhalt aktivieren’ klickt, wird das Makro ausgeführt und dem Benutzer ein Passwortdialogfeld angezeigt.

NetSupport Manager als Phishing Tool 02

Sobald das Opfer dies tut und das korrekte Kennwort im Dialogfeld eingibt, führt das Makro seinen bösartigen Code aus, der Befehlszeichenfolgen erstellt und diese auf VBA verschleiert.

Die Befehlszeichenfolgen starten eine ausführbare Datei namens “cmd.exe”, erstellen eine Batch-Datei namens “alpaca.bat” und führen sie aus. Als nächstes wird eine MSI-Nutzlast über msiexec abgerufen, die ein PowerShell-Skript installiert. Schließlich installiert dieses Skript das Fernwartungstool NetSupport Manager und stellt die Verfügbarkeit durch das Einfügen von Schlüsseln in die Systemregistrierung dauerhaft her.

Zuvor prüft es jedoch das Vorhandensein von Avast oder AVG Antivirus und handelt entsprechend. Wenn alles gut geht, stellt das Fernwartungstool die Kommunikation mit der dafür präparierten Webseite her und sendet die Geolokalisierungsdaten des Hosts.


Anmerkung vom Hersteller NETSUPPORT

Wir haben diese und ähnliche Aktivitäten bereits in der Vergangenheit gesehen.

Betroffen sind nur jene eMail Empfänger, welche die Aktionen zur Installation des Fernwartungstolls (in diesem Fall der NetSupport Manager) tatsächlich durchführt haben.

Auswirkungen
Diese Phishing Aktionen haben keinerlei Auswirkungen auf die Installationen unserer Kunden.

Wenn wir diese Aktivitäten in der Vergangenheit untersucht haben, beziehen sie sich normalerweise auf eine alte Version von NetSupport Manager, die mit einer nicht von uns zur Verfügung gestellten Lizenz verwendet wurde. Auch wurde das Programm bzw. der zugrunde liegende Dienst oft umbenannt, um das Programm zu verbergen. Nach der Installation stellt der Client eine Verbindung zu einem Gateway-Server her, der von der Person, die das Phishing erstellt hat, gehostet wird.

Der Grund für die Verwendung der älteren Version von NetSupport Manager liegt darin, dass in neueren Versionen (Anmerkung der Redaktion: ab v10 aus dem jahr 2012) der Lizenzmechanismus verstärkt wurde, um die Verwendung von unechten Lizenzschlüsseln zu verhindern, so dass sie die älteren Versionen verwenden müssen. Wenn diese von uns eingesehen oder wir von unseren Kunden darüber informiert werden, so setzen wir uns mit dem ISP in Verbindung, der die IP des Gateway-Server hostet, auf den diese missbräuchliche Installation verweisen, um die Entfernung dieser IP-Adresse zu beantragen.

In den meisten Fällen sind diese Gateways normalerweise nach einigen Tagen offline.

Leider können wir nicht viel tun, um die missbräuchliche Nutzung älterer Versionen unseres Fernwartungstool NetSupport Manager zu verhindern. Da sie jedoch keine neueren Versionen verwenden können, werden die alten Version auf den aktuellen Betriebssystemen irgendwann weniger sinnvoll nutzbar sein.


Anmerkung von ProSoft

In diesem Fall ist NetSupport leider Opfer des Erfolgs seines prämierten Fernwartungstools, da die Cyberkriminellen, welche hinter diesen Phishing Aktionen stehen, wohl auf die erwiesene Qualität des NetSupport Manager vertrauen.

Zusammenfassung
Diese Phishing Aktionen haben keinerlei Auswirkungen auf Ihre NetSupport Manager Installationen.

Da die installierte Programmversion dieser Phishing Aktionen ausschließlich mit dafür von den Cyberkriminellen zur Verfügung gestellten Gateway-Servern kommunizieren, ist eine Wechselwirkung mit Ihren lokal installierten Gateway-Servern technisch nicht möglich.

Und selbst wenn dem so wäre: Dies wäre von den Cyberkriminellen nicht gewünscht, da ansonsten diese Phishing Aktion sofort public würde..

Es lässt sich also sagen: Nur weil ein Bankräuber mit einem Auto flüchtet, welches einen Stern hat, ist der Autohersteller “mit dem Stern” per se nicht gefährlich.

Sollten Sie Rückfragen zu diesem Thema haben, so stehen wir Ihnen hierfür per eMail unter technik@prosoft.de gerne zur Verfügung.

Hinweis

Beachten Sie bitte folgende, ergänzende Informationen.

Der wirksamste Schutz, um sich vor solchen Gefahren zu schützen ist der Einsatz einer aktuellen Viren- und Malware-Erkennung.
Diese sollte den bösartigen Code im Word- und Excel-Makros erkennen und ihn nicht ausführen lassen.

Es gibt jedoch eine Reihe weiterer Vorsichtsmaßnahmen, die Sie ergreifen können.

  1. Sensibilisierung der Benutzer für Phishing-Betrügereien
    die Schulung und Sensibilisierung der Benutzer ist der wirksamste Schutz vor Phishing-Betrügereien.
  2. Führen Sie keine Makros oder ausführbaren Dateien aus unbekannten Quellen aus.
  3. Halten Sie den Antivirus- und Anti-Malware-Schutz auf dem neuesten Stand.
  4. Wenn Sie ein bestehender NetSupport Manager-Kunde sind, sollten Sie Ihre CLIENTs mit Hilfe von Richtlinien konfigurieren.

    Richtlinien haben immer Vorrang vor jeglichen manuellen Einstellungen in den client32.ini-Dateien.
    Wir würden vorschlagen, dass einige oder alle der folgenden Punkte durch Richtlinien angewendet werden

    • Alle Betrügereien, die NetSupport Manager als Fernzugriffstool verwenden, verwenden das HTTP-Protokoll.
      Sie können es also entweder in der Richtlinie deaktivieren, wenn Sie es nicht verwenden, oder das Gateway in der Richtlinie einstellen
    • Einen Sicherheitsschlüssel in der Richtlinie festlegen
    • Benutzerbestätigung in der Richtlinie festlegen
    • Authentifizierung in der Richtlinie festlegen
    • Legen Sie die Client-Benutzeroberfläche fest, die in der Richtlinie angezeigt werden soll.

Mit aktuellen Versionen ab v12 ist es nicht mehr möglich, den NetSupport-Client auf diese Weise auszuführen, da der Hersteller Massnahmen ergriffen hat, um zu verhindern, dass der NetSupport Manager gehackt wird. Durch den Schutzcode kann erkannt werden, wenn jemand versucht, den NetSupport-Client “unüblich” laufen zu lassen. In diesem Fall wird die weitere Ausführung des NetSupport-Clients beendet.

Downloads

Es stehen folgende Downloads zur Verfügung:

Auf folgende Downloads wurde im Text mit ** verwiesen

Seitenaufrufe

Bitte bewerten Sie diesen Beitrag!
[Gesamt: 0 | Durchschnitt: 0]