Olympische Sommerspiele: Zscaler kommentiert gefälschtes Streaming und Adware

Online-Streaming war die bevorzugte Möglichkeit für Sportinteressenten weltweit, die 2021 nachgeholten Wettbewerbe am Bildschirm mitzuverfolgen

[datensicherheit.de, 30.08.2021] Laut einer aktuellen Stellungnahme von Zscaler ziehen sportliche Großereignisse weltweit nicht nur Zuschauer in ihren Bann, „sondern bringen auch Malware-Akteure auf den Plan“. Bereits im Vorfeld der Olympischen Sommerspiele 2020 habe der für IT-Sicherheit zuständige externe Berater, Toshio Nawa, vor Cyber-Angriffen gewarnt. Durch die besondere Situation der Durchführung 2021 – ohne Zuschauer vor Ort – sei das Online-Streaming eine bevorzugte Möglichkeit für Sportinteressenten weltweit gewesen, Wettbewerbe am Bildschirm mitzuverfolgen.

Foto: Zscaler

Deepen Desai: Konsistente Sicherheitsrichtlinien durchsetzen, unabhängig davon, wo sich die Benutzer befinden!

Streaming-Transaktionen in Europa vor allem aus Deutschland und Frankreich

Sicherheitsforscher von Zscaler haben nach eigenen Angaben während der nachgeholten Sommerspiele das Malware-Aufkommen analysiert und dabei allerlei schädliche Software, von sogenannten Coinminers bis zu Ransomware, gefälschten Streaming-Webseiten und Adware entdeckt. Die gefälschten Seiten hätten neben Diebstahl von Information auch Scamming-Attacken gedient und Adware habe die Anwender zur Installation irrelevanter Browser-Erweiterungen verleitet, „wie dem bekannten Browser-Hijacker ,YourStreamSearch‘ oder ,OlympicDestroyer‘, der zum Diebstahl von Anmeldeinformationen auf der Maschine des Opfers eingesetzt wird“.
Die meisten der beobachteten Streaming-Transaktionen seien in Europa aus Deutschland mit 8,6 Prozent und Frankreich mit 8,3 Prozent Anteil am weltweiten untersuchten „Traffic“ gekommen. „Online-Streaming ist beliebter als je zuvor und angesichts globaler Ereignisse, wie der Olympischen Spiele, ist es für die Zuschauer wichtig, die ernsten Auswirkungen potenzieller Bedrohungen zu erkennen. Da viele dieser Online-Streaming-Zuschauer gewöhnliche Arbeitnehmer sind, die aufgrund der ,Pandemie‘ von zu Hause arbeiten, sind Online-Veranstaltungen ein Hauptziel für Hacker“, kommentiert Deepen Desai, „CISO“ und „VP Security Research“ bei Zscaler.

Gefälschte Streaming-Dienste nicht mit den offiziellen verwechseln!

Die gefälschten Streaming-Dienste sollten nicht mit den offiziellen Streaming-Anbietern rund um die Sportereignisse verwechselt werden. Die Fälschungen versprächen kostenlosen Zugang und forderten trotzdem Anmeldeinformationen zu Bezahlsystemen ein. Die benutzen „Templates“ der gefälschten Webseiten seien bereits im Zusammenhang mit Großereignissen, wie der NBA oder Football, beobachtet worden.
Bei der entdeckten Adware habe es sich um angeblich kostenlose Streaming-Dienste gehandelt, welche die Benutzer stattdessen auf Webseiten für Glücksspiel, Autohandel usw. umgeleitet hätten. Benutzer seien zur Installation von Adware in Form von Browser-Erweiterungen genötigt worden, „die sie zu gefälschten Software-Updates führten“. Im Fall von „olympicstreams“ würden die Benutzer zur Installation der „YourStreamSearch“-Browser-Erweiterung auffordert werden. „YourStreamSearch“ sei ein bekannter Browser-Hijacker, der Anzeigen auf der Grundlage des Suchverlaufs empfehle.

OlympicDestroyer – ein Wurm, der sich über Windows-Netzwerkfreigaben verbreitet

„OlympicDestroyer“ ist laut Desai „eine hochentwickelte Malware, die erstmals während der Winterspiele 2018 in Südkorea beobachtet wurde“. Diese Malware habe die offizielle Website der Spiele kompromittiert und den Verkauf von Tickets beeinträchtigt. Im Kern handele es sich bei „OlympicDestroyer“ um einen sogenannten Wurm, der sich über „Windows“-Netzwerkfreigaben verbreite. „Die Malware legt mehrere eingebettete und verschleierte Dateien auf dem Computer des Opfers ab, die versuchen Browser- und Systemanmeldeinformationen zu stehlen.“
Ein interessantes Verhalten bestehe darin, dass „OlympicDestroyer“ auf der Grundlage der erlangten Anmeldeinformationen verschiedene Binärdateien erzeugen könne. Dies habe zu vielen Variationen geführt, welche dieselbe Aufgabe erfüllten.

Malware versucht, Zielcomputer zu deaktivieren…

Neben dem Sammeln von Anmeldeinformationen versuche die Malware, den Zielcomputer zu deaktivieren, „indem sie mit ,cmd.exe‘ unter anderem Backups deaktiviert, Boot-Richtlinien bearbeitet und Ereignisprotokolle löscht, was ein Zurücksetzen des betroffenen IT-Systems erschwert“.
Desai empfiehlt abschließend Unternehmen mit Home-Office-Mitarbeitern: „Um das Risiko solcher Angriffe zu verringern, ist es wichtig, konsistente Sicherheitsrichtlinien durchzusetzen, unabhängig davon, wo sich die Benutzer befinden. Sie sollten darüber hinaus eine ,Zero-Trust‘-Architektur einführen, um den möglichen Schaden zu begrenzen, wenn ein System kompromittiert wird.“ Zusätzliche Sicherheitsvorkehrungen, wie die Durchsetzung einer Multi-Faktor-Authentifizierung, die rechtzeitige Durchführung von Sicherheitsupdates oder die Erstellung von Backups, seien unerlässlich, „um Ihre Geschäftsabläufe widerstandsfähig gegen Cyber-Angriffe zu machen“.

Weitere Informationen zum Thema:

zscaler, 25.08.2021
Fake Streaming & Adware Target Olympics 2020

datensicherheit.de, 26.07.2021
Digitale Olympische Spiele: Erhöhte Anforderungen an IT-Sicherheit / Chris Harris nimmt Stellung zur wachsenden Abhängigkeit der Abläufe von der IT-Infrastruktur