[English]Das kompromittierte Amazon AWS S3 Buckets, welches ich im Blog-Beitrag Achtung Mal-/Ransomware: Infiziertes Cookie-Consent-Logo thematisiert habe, liefert ständig neue 'Payloads' über kompromittierte Dateien aus. Hier noch einige Ergänzungen dazu.
Anzeige
Im Beitrag Kompromittiertes SilkTide Cookie-Consent Logo – Teil 2 hatte ich einige Hintergrundinformationen zum Thema veröffentlicht. Aber es sieht so aus, als ob der Missbrauch des kompromittierten Amazon AWS S3 Buckets schon über Jahre geht und ständig neue Nutzlasten ausgeliefert werden.
Früherer Missbrauch des AWS S3 Buckets
Nachdem ich den obigen Sacherhalt auf Twitter und in sozialen Netzwerken eingestellt hatte, gab es Rückmeldungen von Sicherheitsforschern und anderen Leuten. Das Amazon AWS S3 Bucket wird seit Jahren missbraucht. Daniel Ruf wies auf Facebook auf drei dokumentierte Missbrauchsfälle in der Vergangenheit hin, die schädliche Dateien aus dem Amazon AWS S3 Bucket, thematisieren.
Mobile-Browser-Umleitung im September 2019
Der erste Fall, auf den Daniel Ruf bei Facebook hinwies, verwendete eine manipulierte Script-Datei aus dem Amazon AWS S3 Bucket. Folgender Tweet weist auf einen Fall vom September 2019 hin, wo ein Script kompromittiert wurde.
If the user browse from a mobile device and the back button is pressed, it replaces the current page with a URL that refers to the fraudulent page. pic.twitter.com/y1rcje8wTc
— tike (@tiketiketikeke) September 24, 2019
Dort führt die Verwendung der Zurück-Schaltfläche eines Mobilgeräts dazu, dass der Benutzer zu einer betrügerischen Webseite umgeleitet wird. Die Details sind in diesem italienischen Beitrag detaillierter beschrieben.
Fälle aus dem Juli 2017
Ein weiterer Fall aus dem Juli 2017 wurde in diesem Forenbeitrag kurz dokumentiert. Es geht ebenfalls um ein Redirect auf Mobilgeräten, dass von manipulierten Dateien des Cookie Consent Plugin von Silktide ausgeht. Der Beitrag beschreibt den damaligen Sachverhalt. Der nächste Fall aus 2017 wird in diesem GitHub-Beitrag von Phil E. Taylor diskutiert. Die manipulierten Script-Dateien verfolgten das Ziel, Nutzer auf Porno-Seiten umzuleiten.
Angriff auf portugiesische Webseiten (Januar 2020)
Im Blog-Beitrag Achtung Mal-/Ransomware: Infiziertes Cookie-Consent-Logo hatte ich bereits den Hinweis von Lawrence Abrams gebracht, dass das kompromittierte Amazon AWS S3 Buckets schon mal im Januar 2020 ein Thema war.
The WannaPeace Ransomware variant pushed by it was targeting Portugal. Appears to be from 2019.https://t.co/mGL0VNuF3i pic.twitter.com/irella3TKM
— Lawrence Abrams (@LawrenceAbrams) May 21, 2020
Anzeige
Damals standen portugiesische Webseiten im Fokus. Lawrence Abrams von Bleeping Computer hat mir einen früheren Link auf Virus Total geschickt, wo sehr viele Virenscanner auf Virus Total eine Nutzlast als gefährlich erkannt. Das kann sich aber jederzeit ändern.
Aktuelle Nutzlasten wechseln täglich
Seit ich das den ersten Artikel vor wenigen Stunden verfasst habe, lassen Leute die URL mit der Logo-Datei überprüfen. Bei meinem Aufruf vor einigen Stunden haben nur zwei (Fortinet und Kaspersky) von 80 Virenscannern auf VirusTotal eine Malware erkannt. Dazu gibt es einen Community-Beitrag, wo jemand diese Malware thematisiert.
Plötzlich WannaPeace Ransomware
Auf Grund meines Blog-Beitrags und der Diskussion auf Twitter hat sich Sicherheitsforscher Kevin Beaumont in folgendem Tweet gemeldet.
I got a weird payload for it yesterday, was WannaPeace disguised as a software update, but broken. Wasn't on VT at time. https://t.co/IfizlJGTH8 https://t.co/cl8SSoHkQL
— Kevin Beaumont (@GossiTheDog) May 21, 2020
Am 21. Mail 2020 bekam er die WannaPeace-Ransomware als 'Nutzlast' von der kompromittierten Amazon AWS-Seite, als Software-Update getarnt, ausgeliefert. Aber die Payload war kaputt, wie eine Prüfung der .png-Datei mit VirusTotal ergab.
Was man tun kann
Administratoren in Firmenumgebungen kann man nur raten, die URL * komplett für Zugriffe aus dem Netz zu sperren. Webmaster von Internet-Auftritten sollten dagegen prüfen, ob die Cookie Consent-Lösung von SilkTide im Einsatz ist. In diesem Fall sollte der Code entfernt und auf eine andere Lösung umgestellt werden.
Addendum: Die Aktion hat nun doch etwas 'Staub aufgewirbelt'. Amazon hat das Konto deaktiveirt und das S3 Bucket suspendiert. Nun sollten keine kompromittierten Dateien mehr von diesem S3 Bucket mehr ausgeliefert werden.
Artikelreihe
Achtung Mal-/Ransomware: Infiziertes Cookie-Consent-Logo
Kompromittiertes SilkTide Cookie-Consent Logo – Teil 2
Kompromittiertes SilkTide Cookie-Consent Logo – Teil 3
2015
Ich habe mich jetzt kurz durch alle drei Beiträge durchgekämpft. Danke für die Informationen.
Frage und Vermutung(?) Ist man mit den sog. Adblockern dann auch der sicheren Seite?
Wir hatten das Thema vor einigen Jahren schon. Da verbarg (und wohl tw immer noch) in den Werbebildern auf den Seiten eigentlich Schadsoftware. Das bringt mich ja immer und erneut auf den Hinweis das automatische Herunterladen von Bildern in Outlook zu UNTERBINDEN und zu deaktivieren.
Da Malwarebytes in der Liste der Ernennungen nicht vorkam, so bin ich jetzt auf der Forumseite auf eine neue Variante des Blocken gestoßen. Malwarebytes bietet dieses kostenlos an: Der Forumseintrag ist hier:
https://forums.malwarebytes.com/topic/252842-do-i-need-an-ad-blocker/
und der "BrowserGuard" von Malwarebytes ist hier:
https://www.malwarebytes.com/browserguard/
Es wird für Chrome und Firefox angeboten. Ich werde das mal ausprobieren. das gibt es wohl schon ab 10/2019, aber es ist irgendwie an mir vorüber gegangen.