Der als SideWinder bekannte Bedrohungsakteur hat sein Arsenal an Malware um ein neues Tool erweitert, das bei Phishing-Angriffen gegen öffentliche und private Einrichtungen in Pakistan eingesetzt wird.
„Phishing-Links in E-Mails oder Posts, die legitime Benachrichtigungen und Dienste von Regierungsbehörden und Organisationen in Pakistan imitieren, sind die Hauptangriffsvektoren der Bande“, so das in Singapur ansässige Cybersicherheitsunternehmen Group-IB in einem Bericht vom Mittwoch.
SideWinder, der auch unter den Namen Hardcore Nationalist, Rattlesnake, Razor Tiger und T-APT-04 bekannt ist, ist seit mindestens 2012 aktiv und konzentriert sich hauptsächlich auf Pakistan und andere zentralasiatische Länder wie Afghanistan, Bangladesch, Nepal, Singapur und Sri Lanka.
Letzten Monat schrieb Kaspersky dieser Gruppe über 1.000 Cyberangriffe in den letzten zwei Jahren zu und wies auf ihre Hartnäckigkeit und ausgefeilten Verschleierungstechniken hin.
Der Modus Operandi der Bedrohung besteht in der Verwendung von Spear-Phishing-E-Mails, um bösartige ZIP-Archive mit RTF- oder LNK-Dateien zu verbreiten, die eine HTML-Anwendung (HTA) von einem Remote-Server herunterladen.
Dazu werden betrügerische Links eingebettet, die so gestaltet sind, dass sie legitime Benachrichtigungen und Dienste von Behörden und Organisationen in Pakistan imitieren, wobei die Gruppe auch ähnlich aussehende Websites einrichtet, die sich als Regierungswebsites ausgeben, um die Anmeldedaten der Nutzer/innen zu sammeln.
Das von Group-IB identifizierte benutzerdefinierte Tool mit dem Namen SideWinder.AntiBot.Script fungiert als Verkehrsleitsystem, das pakistanische Nutzer, die auf die Phishing-Links klicken, auf betrügerische Domains umleitet.
Wenn ein Nutzer, dessen IP-Adresse nicht mit der pakistanischen übereinstimmt, auf den Link tippt, leitet das AntiBot-Skript zu einem authentischen Dokument auf einem legitimen Server um und versucht so, seine Ziele geofence zu schützen.
„Das Skript prüft die Browserumgebung des Clients und entscheidet anhand verschiedener Parameter, ob es eine bösartige Datei ausgibt oder auf eine legitime Ressource umleitet“, so die Forscher.
Besonders erwähnenswert ist ein Phishing-Link, der eine VPN-Anwendung namens Secure VPN („com.securedata.vpn“) aus dem offiziellen Google Play Store herunterlädt und versucht, sich als die legitime Secure VPN-App („com.securevpn.securevpn“) auszugeben.
Auch wenn der genaue Zweck der gefälschten VPN-App unklar bleibt, ist es nicht das erste Mal, dass SideWinder den Schutz des Google Play Stores umgeht, um betrügerische Apps unter dem Vorwand von Dienstprogrammen zu veröffentlichen.
Im Januar 2020 berichtete Trend Micro über drei bösartige Apps, die als Fotografie- und Dateimanager-Tools getarnt waren und eine Sicherheitslücke in Android (CVE-2019-2215) ausnutzten, um Root-Rechte zu erlangen und Zugriffsberechtigungen zu missbrauchen, um sensible Daten zu sammeln.