Analyse aktueller Windows-„MaaS“-Betrugsfälle: Wichtige Informationen, die Sie kennen sollten

Analyse aktueller Windows-„MaaS“-Betrugsfälle: Wichtige Informationen, die Sie kennen sollten

Da sich Phishing-Betrugsmaschen ständig weiterentwickeln, unterstreicht das Aufkommen von Malware as a Service (MaaS), das gezielt Windows-Nutzer ins Visier nimmt, diesen Trend. Obwohl Microsoft Maßnahmen ergriffen hat, um diesen Bedrohungen zu begegnen, ist der zugrundeliegende Betrug weiterhin aktiv. Im Folgenden wird genauer erläutert, wie dieser ausgeklügelte Betrug funktioniert und welche Schritte Sie zum Schutz Ihres Systems unternehmen können.

Den Malware-as-a-Service-Phishing-Betrug verstehen

Phishing-Betrüger nutzen typischerweise E-Mails, SMS, Pop-ups oder irreführende Websites, um Nutzer zu täuschen. Eine kürzlich von Microsoft Defender-Experten identifizierte Strategie verwendet vertrauenswürdige Anwendungen, um Nutzer zur Installation von Schadsoftware zu verleiten und so die Erkennung zu erschweren.

In den meisten Fällen ist Windows in der Lage, solche Schadsoftware aufgrund fehlender gültiger Sicherheitszertifikate zu blockieren. Hierbei spielt ein Extended-Validation-Zertifikat (EV-Zertifikat) eine entscheidende Rolle, da es Nutzern die Legitimität einer Marke bestätigt und sie vor Phishing-Angriffen schützt. Betrüger haben jedoch eine clevere Umgehungslösung entwickelt.

Sie schufen einen Anschein von Legitimität, indem sie die Firma TrustConnect Software PTY LTD, ein Scheinunternehmen, gründeten. Mithilfe künstlicher Intelligenz erstellten sie eine umfassende Unternehmensidentität – inklusive Website, positiven Bewertungen und Kundendaten. Durch die erfolgreiche Beantragung eines EV-Zertifikats machten sie ihre Malware sowohl für Nutzer als auch für Systeme vertrauenswürdig.

Das bedeutet, dass Betrüger das gültige EV-Zertifikat auf legalem Wege erworben haben, anstatt auf Diebstahl oder Fälschung zurückzugreifen. Folglich wird jegliche von ihnen verbreitete Schadsoftware von Windows sofort als legitim erkannt.

Um das Zertifikat einer App unter Windows zu überprüfen, klicken Sie einfach mit der rechten Maustaste auf die ausführbare Datei und navigieren Sie zu Eigenschaften → Digitale Signaturen → Details → Zertifikat anzeigen.

Beispiel eines gültigen EV-Zertifikats unter Windows, am Beispiel von Brave.

Die Situation eskalierte weiter, als TrustConnect sich zu einem seriösen Unternehmen wandelte, das sich an skrupellose Unternehmer richtete. Sie führten ein MaaS-Geschäftsmodell ein und boten Abonnements in Kryptowährung für nur 300 US-Dollar pro Monat an, um anderen die Durchführung von Phishing-Angriffen zu ermöglichen.

Nutzer werden mit E-Mails kontaktiert, die PDF-Dateien, Besprechungseinladungen und andere scheinbar harmlose Inhalte enthalten, in denen sich jedoch schädliche Links verbergen. Diese Links fordern die Nutzer häufig dazu auf, Anwendungen wie Adobe Acrobat oder Zoom zu „aktualisieren“.Sobald die Nutzer dazu verleitet werden, auf „Aktualisieren“ zu klicken, installieren sie unwissentlich Schadsoftware.

Gängige ausführbare Dateien wie z. B.adobereader.exe.exe, trustconnectagent.exe.exe msteams.exe, zoomworkspace.clientsetup.exe.exe und invite.exe.exe laufen unauffällig, da sie gültige EV-Signaturen tragen. Dadurch erstellt die Malware Ordner im Verzeichnis „Programme“ und startet beim Systemstart, ähnlich wie jede andere Anwendung. Dies erschwert die Erkennung selbst für technisch versierte Nutzer.

Entzug des Elektrofahrzeugzertifikats: Eine begrenzte Lösung

Man könnte annehmen, dass der Widerruf des EV-Zertifikats die Phishing-Aktivitäten von TrustConnect effektiv unterbinden würde, doch die Realität ist komplexer. Zwar verhindert diese Maßnahme, dass neue Schadsoftware ein EV-Zertifikat erlangt, sie macht bereits ausgestellte Zertifikate jedoch nicht rückwirkend ungültig.

Daher wird jegliche Malware, die zuvor als legitim eingestuft wurde, von Windows weiterhin als legitim betrachtet. Aus diesem Grund müssen Benutzer proaktive Schutzmaßnahmen ergreifen. Obwohl Unternehmenskunden die Hauptziele darstellen, sollten sich auch Einzelbenutzer nicht in Sicherheit wiegen.

Darüber hinaus haben Sicherheitsexperten festgestellt, dass die Täter hinter TrustConnect bereits an einer weiteren Malware-Variante namens DocConnect arbeiten, die ähnliche Taktiken anwendet.

Formatierung: Ein empfohlener Ansatz

Untersuchungen zeigen, dass Versuche zur Beseitigung der Malware noch komplexere Sicherheitsebenen aufdecken als ursprünglich angenommen. Die TrustConnect-Malware installiert verschiedene Frameworks für Fernüberwachung und -verwaltung (RMM), um den permanenten Zugriff auf kompromittierte Systeme aufrechtzuerhalten. Daher ist die Entfernung eines einzelnen Frameworks nur ein Bruchteil des erforderlichen Aufwands.

Für Betroffene ist das Formatieren des Computers die effektivste Lösung, um die Malware vollständig zu entfernen. Sichern Sie unbedingt vorher Ihre Dateien. Führen Sie nach der Neuinstallation von Windows einen gründlichen Virenscan Ihrer Backups durch, bevor Sie diese wiederherstellen. Da sich die Malware als Windows-Anwendung tarnt, ist es unwahrscheinlich, dass sie mit Ihren Dokumenten oder Fotos in Verbindung steht.

Auswahl von Formatierungsoptionen zur Entfernung von Malware als Dienstleistung.

In Geschäftsumgebungen ist es ratsam, dass IT-Administratoren den Benutzern die selbstständige Durchführung von Software-Updates untersagen.

Vorsicht bei App-Updates über Links

TrustConnect ist nicht der einzige Anbieter, der irreführende App-Updates zur Installation von Schadsoftware einsetzt. Ihr einzigartiger Vorteil bestand in einem gültigen Zertifikat, das es Sicherheitslösungen erschwerte, ihre Aktivitäten zu erkennen.

Wenn Sie auf einen Link von einer scheinbar vertrauenswürdigen Quelle klicken, der zu einem App-Update auffordert, brechen Sie den Vorgang sofort ab. Führen Sie das Update nicht durch.

Öffnen Sie stattdessen die Anwendung separat und suchen Sie über die Einstellungen oder das Hilfemenü nach Updates. Bei Apps, die ursprünglich aus dem Microsoft Store heruntergeladen wurden, sollten Updates ebenfalls direkt über den Store bezogen werden.

Wenn keine Updates verfügbar sind, können Sie sicher sein, dass der gefundene Link schädlich ist. Da sich Prozesse häufig ändern können, ist es ratsam, neue Anwendungen in einer Sandbox-Umgebung zu installieren, um ihre Sicherheit vor der vollständigen Integration zu überprüfen.

Die Häufigkeit von Phishing-Betrugsversuchen wird voraussichtlich nicht abnehmen. Eine der wirksamsten Schutzmaßnahmen ist, unerwartete Links kritisch zu hinterfragen, bevor man sie anklickt. Kürzlich erhielt ich eine E-Mail, die scheinbar eine Umfrage zu Kfz-Versicherungstarifen anbot. Obwohl der Absender authentisch wirkte, entschied ich mich, direkt die Website meines Versicherers aufzurufen, anstatt auf den Link zu klicken. Es stellte sich heraus, dass es sich um einen Phishing-Versuch handelte.

Klicken Sie nicht auf Links, wenn Sie sich über deren Echtheit unsicher sind. Bei geschäftlichen Nachrichten kontaktieren Sie den vermeintlichen Absender separat, um die Echtheit zu überprüfen. Sicherheit hat Vorrang vor Neugier. Antworten Sie nicht auf Nachrichten, da dies den Betrüger nur anlockt und Ihr Risiko erhöht.

Da täglich neue Phishing-Angriffe auftauchen und sogar Plattformen wie LinkedIn infiltrieren, ist es unerlässlich, informiert und wachsam zu bleiben. Malware as a Service bringt zwar eine neue Ebene der Komplexität mit sich, doch Bewusstsein und Vorsicht können Nutzern helfen, diesen Betrugsversuchen zu entgehen.

Quellen & Bilder

Ähnliche Artikel:

Das Nothing Phone (4a) Pro setzt einen neuen Innovationsstandard im Vergleich zur Samsung Galaxy S26-Serie
Der M5 Max mit 18 Kernen erzielt laut einem kürzlich aufgetauchten Benchmark-Leak eine um 10 % höhere Leistung als der M4 Max und übertrifft damit den 32-Kern-Prozessor M3 Ultra.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert