Regierungswebsites verbreiten Viren unter dem Deckmantel von Hacking-Tools

Last updated 3. Dezember 2022

Nach mehreren gefälschten Schritten wird der Benutzer aufgefordert, eine bösartige Datei herunterzuladen oder Kartendaten einzugeben, um fortzufahren.

Im Rahmen eines großangelegten Angriffs veröffentlichen Hacker Artikel auf Websites von Behörden und Universitäten mit Anweisungen zum Hacken von Konten in sozialen Netzwerken, die zu einer Malware-Infektion auf dem Computer führen.

Der Angriff kam erstmals ans Licht, als der Sicherheitsdienst Cyble einen Screenshot von UNESCO.org veröffentlichte, der gehackt wurde, um einen Artikel darüber zu hosten, wie man ein Instagram-Konto hackt.

Wenn Sie auf den eingebetteten Link klicken, gelangen Sie zu einer Website, die behauptet, ein Hacking-Tool für Instagram-Konten zu sein.

Wenn Sie versuchen, dieses Tool zu verwenden, führt es Sie durch eine Reihe von "für den Anschein"-Schritten, wie im Video unten gezeigt, und fordert Sie schließlich auf, eine Datei herunterzuladen, um den Hack abzuschließen. Wenn Sie jedoch auf den Download-Link klicken, werden Sie auf eine Website weitergeleitet, die Malware verbreitet.

Teil einer größeren Hacking-Kampagne

BleepingComputer hat weiter nachgeforscht und festgestellt, dass viele andere Websites von Hochschulen, Behörden und Organisationen gehackt wurden, um gefälschte Hacking-Tools für Netflix, WhatsApp, Facebook, Instagram, TikTok und Snapchat zu bewerben.

Beispiel für eine TikTok-Hack-Suche

Einige der Websites, auf die diese Kampagne abzielt, gehören US-Regierungsorganisationen in San Diego, Colorado, Minnesota, sowie Websites der UNESCO, der National Institutes of Health (nih.gov), des National Cancer Institute (Cancer.gov), Rutgers, Universität. Washington, Arizona State University, Rochester Institute of Technology, University of Iowa, University of Maryland und University of Michigan,

Basierend auf den von BleepingComputer beobachteten Mustern nutzen Angreifer Schwachstellen im CMS aus, um ihre eigenen Artikel zu hosten. Eine gängige Methode war die Verwendung der Drupal Webform- Komponente zum Hochladen von PDF-Dateien mit Links zu gefälschten Hacking-Tools.

Erschwerend kommt hinzu, dass es den Angreifern gelungen ist, Black-Hat-SEO so zu betreiben, dass diese „Hack-Tools” als erstes Suchergebnis bei der allgemeinen Keyword-Suche bei Google angepriesen werden.

Erster Platz in der Google-Suche

Wenn Sie auf diese Links klicken, werden Benutzer auf Seiten mit gefälschten Hacking-Tools weitergeleitet, die der oben gezeigten Instagram-Site ähneln.

Beispielsweise ist das erste Ergebnis einer Google-Suche nach „tiktok-Konto hacken” eine Website, die ein gefälschtes TikTok-Hack-Tool hostet, wie unten gezeigt.

Gefälschtes TikTok-Hack-Tool

Alle getesteten Seiten verhalten sich gleich; Geben Sie vor, dass Sie Ihr Konto gehackt haben, und behaupten Sie dann, dass dies fehlgeschlagen ist und Sie das Programm herunterladen müssen, um fortzufahren.

Das Klicken auf diese Links führt zu Anfragen nach persönlichen Informationen, Kreditkarteninformationen oder fordert Sie auf, eine Reihe von Malware- und Adware-Paketen herunterzuladen.