Die freie Presse hat viele Feinde: Die Cybersecurity-Spezialisten von Proofpoint konnten einen Angriff auf eine große Anzahl US-amerikanischer Zeitungen aufdecken, darunter bekannte Tageszeitungen. Dabei attackieren die Cyberkriminellen die Publikationen nicht direkt, sondern wählen den Umweg über eine Nachrichtenagentur. Die Agentur stellt ihren Partnern Inhalte per Javascript zur Verfügung. Den Angreifern ist es gelungen, die Codebasis dieses ansonsten harmlosen Javascripts zu manipulieren und für die Ausführung von SocGholish zu verwenden. SocGholish ist ein JavaScript-Malware-Framework, das seit einigen Jahren von Cyberkriminellen verwendet wird.
Die Spezialisten von Proofpoint bezeichnen die Cyberkriminellen hinter dem Angriff als TA569. TA569 hat in der Vergangenheit derartige Javascript-Injektionen in regelmäßigen Abständen entfernt und wieder hinzugefügt, sodass das Vorhandensein des Schadcodes von Stunde zu Stunde variieren kann. Betroffene können sich daher nicht sicher sein, ob es sich bei einer Warnmeldung tatsächlich um einen Fehlalarm („False Positive“) handelt.
Die Cybersecurity-Experten von Proofpoint haben den Angriff von TA569 bei einem Medienunternehmen entdeckt, dessen Dienste von mehreren großen Nachrichtenorganisationen genutzt werden. Mehr als 250 Webseiten regionaler und nationaler Zeitungen haben auf das bösartige Javascript zugegriffen. Die tatsächliche Anzahl der betroffenen Hosts ist nur dem betroffenen Medienunternehmen bekannt.
Sherrod DeGrippo, Vice President Threat Research and Detection bei Proofpoint, kommentiert: „TA569 hat bereits zuvor Medienorganisationen genutzt, um SocGholish zu verbreiten. Diese Malware-Variante kann zu Folgeinfektionen führen, unter anderem mit Ransomware. Die Situation muss genau beobachtet werden, zumal wir gesehen haben, dass TA569 dieselben Assets nur wenige Tage nach der Behebung des Problems erneut infiziert hat. Es reicht nicht aus, das Problem einmal zu beheben. Es ist wichtig, sich daran zu erinnern, dass die Sicherheit einer Website von einer Vielzahl von Ressourcen und Diensten abhängt und dass die Sicherheit, egal wie zuverlässig sie ist, nur so gut ist wie der Content Dritter, der importiert wird.“
Neueste Kommentare
Noch keine Kommentare zu Hacker attackieren Medien
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.