Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Podcast: Chancen und Risiken durch KI zum Schutz vor Hackerangriffen

 

 

Wir trainieren Mitarbeiter seit Jahren darauf, nicht auf Links in E-Mails zu klicken, nicht irgendwelchen Textnachrichten zu vertrauen. Aber durch KI bekommen Fakes eine andere Dimension. Es ist relativ einfach, eine Stimme mit KI zu faken. Da reichen schon 45 Sekunden einer öffentlichen Videoaufnahme, und davon gibt es von wichtigen Unternehmenslenkern hinlänglich viele im Internet. Das Ganze geht es noch ein Schritt weiter. Wir hatten im Januar diesen Jahres in Singapur eine komplette Videokonferenz, wo die Gesichter der Menschen plus die Stimmen gefakt waren“, warnt

Christoph Schuhwerk

Chief Information Security Officer EMEA bei Zscaler

im
IT-Deep-Dive-Podcast von silicon.de
mit

Weiterlesen
  185 Aufrufe

KI-gestützte Betrugserkennung

Betrügereien im Bereich des Fernsupports stellen ein zunehmendes Risiko für Verbraucher dar. Im Jahr 2021 waren 47 Prozent der Deutschen von Kontaktaufnahmen unterschiedlicher Art betroffen. Bei den Scams geben sich Betrüger als technische Support-Mitarbeiter aus und stellen Remote-Verbindungen mit Nutzern her – mit dem Ziel, finanzielle oder andere private Informationen der Personen zu erbeuten. In vielen Fällen missbrauchen die Betrüger vertrauenswürdige Remote-Support-Software von seriösen Lösungsanbietern, um sich mit den Geräten von Opfern zu verbinden. Während des Remote-Zugriffs sehen sie anschließend Informationen auf dem Bildschirm ein oder übernehmen die Kontrolle über das Gerät.

Betrug mit einem Klick melden

Mithilfe einer speziell trainierten KI sucht GoTo Resolve bei der Betrugserkennung aktiv nach Verhaltensweisen und Ausdrücken, die auf solche Scams hindeuten. Wenn die Lösung etwas erkennt, schreitet sie sofort ein. Sie beendet die Sitzung automatisch, warnt den Endbenutzer und ermöglicht es, den vermuteten Betrug mit nur einem Klick zu melden. Durch die neue Funktion konnten bereits Tausende von potenziellen Betrugsfällen identifiziert und die Zahl der Meldungen von Vorfällen um mehr als 81 Prozent reduziert werden. In den kommenden Monaten plant GoTo, diesen Schutz auf Verbindungen mit Desktop-PCs auszuweiten.

 

 

Original author: ZDNet-Redaktion

  187 Aufrufe

Datenstehlende Malware tarnt sich als KI-Tool

Kaspersky warnt vor einer neuen Malware-Kampagne, die sich derzeit gegen Nutzer in Russland, Taiwan, den USA, Spanien und Deutschland richtet. Die Hintermänner setzen dabei auf die zunehmende Beliebtheit von KI-Tools: Sie tarnen die Malware Gipy als KI-Stimmengenerator, den sie über Phishing-Websites verbreiten.

Gipy ist seit Mitte 2023 aktiv. Die Erstinfektion erfolgt Kaspersky zufolge durch den Download einer schädlichen Datei, die von einer Phishing-Website heruntergeladen wird. Diese Webseiten seien täuschend echt gestaltet, wobei die Links zu den schädlichen Dateien oft auf kompromittierten Drittanbieter-Webseiten platziert seien, die WordPress verwendeten.

Nachdem Nutzer auf „Installieren“ klicken, wird ein Installationsprogramm für eine legitime Anwendung gestartet; im Hintergrund jedoch ein Skript mit schädlichen Aktivitäten ausgeführt. Dabei lädt Gipy Schadprogramme von Drittanbietern, die als passwortgeschützte ZIP-Archive verpackt sind, über GitHub herunter und startet sie. Die Kaspersky-Forscher haben nach eigenen Angaben über 200 dieser Archive analysiert, die eine Vielzahl an Bedrohungen enthielten.

Darunter waren mehrere Passwordstealer wie Lumma, RedLine, RisePro und der auf Golang basierende Loli. Außerdem fanden die Forscher den Cryptominer Apocalypse ClipBanker, mehrere Fernzugriffs-Trojaner wie DCRat und RADXRat und die ebenfalls auf Golang basierende Backdoor TrueClient.

„Auch wenn KI-Tools erstaunliche Vorteile bieten und den Alltag revolutionieren, müssen Nutzer wachsam bleiben“, sagte Oleg Kupreev, Sicherheitsexperte bei Kaspersky. „Cyberkriminelle nutzen die Beliebtheit von KI aus, um Malware zu verbreiten und Phishing-Angriffe durchzuführen. Sie nutzen sie seit über einem Jahr als Köder und wir erwarten nicht, dass dieser Trend zurückgeht.“

Original author: Stefan Beiersmann

  171 Aufrufe

Gefahren im Foxit PDF-Reader

Der Exploit zielt hauptsächlich auf Benutzer von Foxit Reader, der neben Adobe Acrobat Reader mit mehr als 700 Millionen Nutzern in mehr als 200 Ländern einer der prominenten PDF-Viewer ist. Der Exploit löst Sicherheitswarnungen aus, die ahnungslose Benutzer verleiten könnten, schädliche Befehle auszuführen. CPR hat beobachtet, dass Varianten dieses Exploits aktiv in Umlauf sind.

Schwachstellen im Design der Warnmeldungen

Die Sicherheitslücke nutzt das fehlerhafte Design der Warnmeldungen in Foxit Reader aus und sorgt dafür, dass dem Nutzer standardmäßig die gefährlichsten Optionen angeboten werden. Sobald ein unvorsichtiger Benutzer zweimal mit der Standardoption fortfährt, wird der Exploit ausgelöst, der eine Nutzlast von einem Remote-Server herunterlädt und ausführt.

Dieser Exploit wurde von mehreren Hackern für kriminelle Aktivitäten und Spionage genutzt. CPR hat drei Fälle isoliert und eingehend untersucht, die von einer Spionage-Kampagne bis hin zu Cyber-Kriminalität mit mehreren Links und Tools reichen und beeindruckende Angriffsketten bilden. Eine der bekanntesten Kampagnen, die diese Schwachstelle ausnutzt, wurde möglicherweise von der als APT-C-35 / DoNot Team bekannten Spionagegruppe durchgeführt. Basierend auf der eingesetzten Malware, den an die Bots gesendeten Befehlen und den erhaltenen Opferdaten sind die Täter in der Lage, hybride Kampagnen durchzuführen, die auf Windows- und Android-Geräte abzielen. Das führte teils zu einer Umgehung der Zwei-Faktor-Authentifizierung (2FA). Dieser Exploit wurde auch von verschiedenen Cyber-Kriminellen genutzt, welche die bekanntesten Malware-Familien verbreiten, wie VenomRAT, Agent-Tesla, Remcos, NjRAT, NanoCore RAT.

PDFs führten PowerShell-Befehle zum Download schädlicher Nutzlasten aus

Bei einer anderen Kampagne identifizierte Check Point Research den Threat Actor als @silentkillertv, welcher eine Kampagne mit zwei verketteten PDF-Dateien durchführte, von denen eine auf einer legitimen Website, trello.com), gehostet wurde. Der Bedrohungsakteur verkauft auch bösartige Tools und warb am 27. April für diesen Exploit. Bei den Recherchen stieß CPR auf mehrere Builds, die der Akteur besitzt, um bösartige PDF-Dateien zu erstellen, die diesen Exploit ausnutzen. Die meisten der gesammelten PDFs führten einen PowerShell-Befehl aus, der eine Nutzlast von einem Server herunterlud und dann ausgeführt wurde, obwohl in einigen Fällen auch andere Befehle verwendet wurden.

Dieser Exploit könnte als eine Form von Phishing oder Manipulation eingestuft werden, die auf Foxit PDF Reader-Benutzer abzielt und sie verleitet, gewohnheitsmäßig auf „OK“ zu klicken, ohne die damit verbundenen Risiken zu verstehen. Die Hacker reichen von rudimentärer Cyber-Kriminalität bis hin zu APT-Gruppen. Das Untergrund-Ökosystem nutzt diesen Exploit bereits seit Jahren aus. Bisher blieb er unentdeckt, da die meisten AV- und Sandboxen den Hauptanbieter von PDF-Readern, Adobe, zugrunde legen. Der Infektionserfolg und die niedrige Entdeckungsrate ermöglichen es, bösartige PDFs über viele unkonventionelle Wege, wie Facebook, zu verbreiten, ohne von Erkennungsregeln aufgehalten zu werden. CPR meldete das Problem an Foxit Reader. Die Entwickler bestätigten die Schwachstelle und teilten mit, dass diese in der Version 2024 3 behoben werden würde

Weiterlesen
  180 Aufrufe

Lenovo: Sicherheitslücken in Server-Enclosure-Firmware

Lenovo warnt aktuell vor Sicherheitslücken in der Firmware von Server-Enclosures. Außerdem betreffen Sicherheitslücken in Bootloadern die Recovery-Partition alter Lenovo-PCs.

Anzeige

Gleich vier Schwachstellen weisen laut Lenovos Sicherheitsmitteilung Server-Enclosures. eine Art von Barebones, aus dem Hause auf. Sie betreffen die System-Management-Module SMM und SMM2 sowie den Fan Power Controller (FPC) der Maschinen. Eine Format-String-Sicherheitslücke ermöglicht authentifizierten Nutzern, beliebige Befehle auf einem bestimmten, nicht genannten API-Endpunkt auszuführen (CVE-2023-4856, CVSS 8.8, Risiko "hoch"). Außerdem können authentifizierte bösartige Nutzer eine Authentifizierung umgehen und bestimmte IPMI-Aufrufe ausführen, die Systeminformationen preisgeben (CVE-2023-4857, CVSS 7.5, hoch).

Nutzer und Nutzerinnen mit erhöhten Rechten können zudem unbefugt Befehle über IPMI ausführen (CVE-2023-4855, CVSS 7.2, hoch). Weiterhin können Angreifer mit erhöhten Rechten bei bestimmten administrativen Funktionen Systembefehle ausführen (CVE-2024-2659, CVSS 7.2, hoch).

Betroffen sind Produkte aus der "System x"-Baureihe, im Speziellen n1200 Enclosure (NeXtScale) sowie n1200 water-cooled Enclosure (NeXtScale) und aus der "ThinkAgile"-Reihe die Modelle CP-CB-10 und CP-CB-10E, HX Enclosure Certified Node (ThinkAgile) sowie VX Enclosure (ThinkAgile). Zudem weisen aus der "ThinkSystem"-Baureihe D2 Enclosure, DA240 Enclosure und DW612 Enclosure die Sicherheitslecks auf. Die Software für die Fan Power Controller ist ab Version FHET62A-3.50 fehlerbereinigt, für die Lenovo System Management Module Firmware v1.24 steht Fassung TESM40B-1.27 oder neuer bereit. Zudem korrigiert für die Lenovo System Management Module 2 Firmware v1.05 der Softwarestand UMSM12I-1.1.3 oder neuer die Lücken. Sie lassen sich unter "Drivers & Software" nach Eingabe des Produkts in der Suche auf der Lenovo-Support-Webseite herunterladen.

Weiterlesen
  151 Aufrufe

Zugriffsmanagement: Kritische Admin-Lücke in Delinea Secret Server geschlossen

Angreifer hätten an einer kritische Sicherheitslücke in der PAM-Lösung Delinea Secret Server ansetzen können. Nach erfolgreichen Attacken hätten sie sich zum Admin hochstufen können. In so einer Position sind in Firmen in der Regel weitreichende Netzwerkzugriffe möglich.

Anzeige

In einem Beitrag führen die Entwickler aus, die Schwachstelle in der On-Premises-Version 11.7.000001 geschlossen zu haben. Alle vorigen Ausgaben seien bedroht. Nutzer der Cloud-Version müssen nichts unternehmen, da Delinea diese bereits serverseitig abgesichert hat.

Für die Lücke wurde bislang keine CVE-Nummer vergeben. Sie betrifft die SOAP-API. Die REST-API sei davon nicht betroffen. Unter anderem aufgrund eines hartcodierten Schlüssels war die Authentifizierung umgehbar. Der Anbieter versichert, dass sie bislang keine Anzeichen für Attacken entdeckt haben.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Zur Startseite
Original author: Dennis Schirrmacher

  184 Aufrufe

Nexperia: Ransomware-Gruppe will 1 TByte Daten erbeutet haben

Der Halbleiterhersteller Nexperia bestätigt einen IT-Vorfall. Eine Ransomware-Gruppe behauptet, rund 1 TByte an Daten kopiert zu haben.

Original author: Dirk Knop

  135 Aufrufe

Lancom-Setup-Assistent leert Root-Passwort

Wer Lancom-Router mit dem Windows-Setup-Assistenten konfiguriert, läuft Gefahr, das Root-Passwort durch ein leeres zu ersetzen.

Original author: Dirk Knop

  180 Aufrufe

heise-Angebot: Ethical Hacking für Admins – werde Pentester in unserer Webinar-Serie

In fünf Webinaren, vom 24. April bis 19. Juni, lernen Interessierte das Handwerk des Penetration Testers. Damit sind Sie Angreifern immer einen Schritt voraus.

Original author: Christoph Böttcher

  189 Aufrufe

Google Titan-Sicherheitsschlüssel: Keine Passkey-Verwaltung

Googles Titan-Sicherheitsschlüssel speichern sehr viele Passkeys. Verwalten kann man die jedoch nicht: Wer den Speicher aufräumen will, muss alles löschen.

Original author: Dirk Knop

  180 Aufrufe

heise-Angebot: iX-Workshop: Angriffe auf Entra ID abwehren

Lernen Sie, wie Sie Entra ID (Azure Active Directory) einschließlich Azure-Diensten härten und effektiv vor Angriffen schützen. (Last Call)

Original author: Ilona Krause

  196 Aufrufe

Citrix-Updates schließen Sicherheitslücken in Xenserver und Hypervisor

Die VMware-Konkurrenten Citrix Xenserver und Hypervisor haben Schwachstellen, die Angreifern die Übernahme der Systeme erlauben.

Original author: Dirk Knop

  161 Aufrufe

Deepfake-Anruf: Lastpass-Mitarbeiter fällt fast auf Fake-CEO rein

Der Anbieter des Passwortmanagers Lastpass gibt Einblick in einen Sicherheitsvorfall, der schlimme Folgen hätte haben können.

Original author: Dennis Schirrmacher

  151 Aufrufe

Python und Telegram: Buchstabendreher ermöglichte Schadcode-Attacken

Unter bestimmten Umständen hätten Angreifer der Windows-Version von Telegram Skripte mit Schadcode unterschieben können.

Original author: Dennis Schirrmacher

  148 Aufrufe

Sicherheitsupdates: Schwachstellen in PHP gefährden Websites

Die PHP-Entwickler haben mehrere Schwachstellen geschlossen. Eine Sicherheitslücke gilt als kritisch.

Original author: Dennis Schirrmacher

  157 Aufrufe

Zweiter Vorfall bei Roku: Fast 600.000 Nutzerkonten betroffen

Angreifer versuchen derzeit massenhaft, Roku-Konten zu kapern. Der Streaminganbieter kontert mit 2FA.

Original author: Ernst Ahlers

  177 Aufrufe

Ransomware bei Kinderwunsch-Zentrum, Cyberangriff auf französische Gemeinden

Nachdem ein Bielefelder Kinderwunsch-Zentrum am 4. April Opfer eines Ransomware-Angriffs geworden ist, gibt es jetzt Entwarnung. Es sind keine Daten abgeflossen, sagt der Sicherheitsexperte Björn Hagedorn vom IT-Systemhaus hoSysteme GmbH im Auftrag des Zentrums gegenüber heise online. Derzeit arbeiten die Sicherheitsexperten an der Wiederherstellung der Systeme und zusätzlichen Sicherheitsmaßnahmen zum Schutz vor weiteren Angriffen. Eine Arbeit im Notbetrieb ist laut Hagedorn wieder möglich. Die Ermittlungen sind noch im vollen Gange, die zuständige Datenschutzbehörde ist ebenfalls informiert.

Anzeige

Der Angriff gelangte mithilfe eines Trojaners, der laut Hagedorn ein Terminal infiziert hatte – wahrscheinlich aufgrund der "Schwachstelle Mensch". Geistesgegenwärtig habe ein im Kinderwunsch-Zentrum anwesender ITler noch den Netzwerkstecker des infizierten Rechners gezogen, "dadurch konnte das schlimmste verhindert werden", sagte Hagedorn. So wurde verhindert, dass sich die Ransomware weiter ausbreitete. Verschlüsselt wurden demnach der Terminalserver, der Domain Controller und der Fileserver, aber auch vereinzelte Computer.

Die Daten der 80.000 Kunden seien aufgrund des schnellen Eingreifens nicht abgeflossen, versichert Hagedorn. Die hohe sechsstellige Summe, die die Ransomware-Gruppierung fordert, werde nicht gezahlt. Stattdessen werden alle Systeme neu aufgesetzt. Das Unternehmen sensibilisiert seine Kunden aufgrund des Bekanntwerdens des Vorfalls dennoch für mögliche Phishing-Versuche.

Derweil sind fünf Gemeinden in der Nähe des Flusses Loire an der Westküste Frankreichs von einem "großangelegten Cyberangriff" auf ihre gemeinsamen Computerserver betroffen. Die Mitarbeiter können derzeit nur eingeschränkt arbeiten und nicht auf Dokumente zuzugreifen. Zu den betroffenen Gemeinden zählen Saint-Nazaire, Montoir-de-Bretagne, Donges, La Chapelle-des-Marais und Pornichet, die zusammen eine Bevölkerung von etwa 100.000 Einwohnern haben.

Weiterlesen
  186 Aufrufe

BKA schaltet kriminellen Online-Marktplatz ab

Einen Online-Marktplatz, auf dem insbesondere Dienste zur Umgehung von Virenschutz angeboten wurden, hat das BKA am Dienstag dieser Woche vom Netz genommen. Die Strafverfolger haben in diesem Rahmen die Wohnung des mutmaßlichen Betreibers in Speyer (Rheinland-Pfalz) durchsucht. Dabei haben sie zahlreiche Beweismittel sichergestellt, die Rede ist von mehreren PCs und Laptops, Datenträgern und Mobiltelefonen.

Anzeige

Wer den kriminellen Online-Marktplatz aufsucht, erhält nun eine Meldung über die Beschlagnahmung der Seite.

(Bild: Screenshot)

Das BKA schreibt in einer Mitteilung, dass es auf der Plattform "AegisTools.pw" vorrangig um Dienste ging, um der Erkennung durch Antivirenprogramme zu entgehen. Sogenannte Cryptoren verschlüsseln ausführbare Dateien so, dass Virenscanner nicht mehr anschlagen, die Datei aber in der Regel ausführbar bleibt. Zum Angebot gehörte auch die Dienstleistung, die erzeugten Dateien gleich zu überprüfen, ob sie wirksam verschlüsselt und nicht mehr von Antivirensoftware erkannt wurden.

Weiterlesen
  187 Aufrufe

BSI warnt vor aktiv angegriffener Sicherheitslücke in Palo-Alto-Firewalls

In Firewalls von Palo Alto Networks klafft eine kritische Sicherheitslücke, die bereits in freier Wildbahn angegriffen wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell davor und empfiehlt Admins mit Palo-Alto-Firewalls, die vom Hersteller genannten Maßnahmen zu ergreifen.

Anzeige

Das BSI warnt aktuell sogar auf X / Twitter vor der Sicherheitslücke: Es gibt noch keinen Patch, IT-Verantwortliche sollen kurzfristig handeln. In einer PDF-Datei fasst das BSI den aktuellen Stand zusammen. Demnach warnt Palo Alto Networks vor einer aktiv ausgenutzten Schwachstelle im Betriebssystem PAN-OS der Firewalls.

In der GlobalProtect-Gateway-Funktion können Angreifer eine Befehlsschmuggel-Lücke zum Unterjubeln von Befehlen missbrauchen. Das gelingt ohne vorherige Authentifizierung aus dem Internet (CVE-2024-3400, CVSS 10.0, Risiko "kritisch"). Sofern GlobalProtect Gateway und die Telemetrie-Funktion aktiviert sind, sind die Versionen vor PAN-OS 10.2.9-h1, 11.0.4-h1 respektive 11.1.2-h3 für die Attacken anfällig. Ältere PAN-OS Versionen (9.0, 9.1, 10.0 und 10.1) sowie die Cloud-Software NGFW, Panorama Appliances und Prisma Access sind demnach nicht betroffen.

Palo Alto schreiben in ihrer Sicherheitsmitteilung, dass die korrigierten Firmware-Versionen im Laufe des 14. April, also dem kommenden Sonntag, erscheinen sollen. Bis dahin sollen Administratoren und Administratorinnen, die Threat Prevention abonniert haben, die Threat-ID 95187 aktivieren. Dabei sollen sie sicherstellen, dass der Schutz für das GlobalProtect-Interface aktiviert ist.

Weiterlesen
  142 Aufrufe

Sicherheitslücken: Angreifer können Juniper-Netzwerkgeräte lahmlegen

Das digitale Abo für IT und Technik.

Als junger Leser heise+ mit 50 % Rabatt lesen. Exklusive Tests, Ratgeber & Hintergründe. Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.Sichern Sie sich jetzt als junger Leser heise+ mit 50 % Rabatt. Exklusive Tests, Ratgeber & Hintergründe. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.

Original author: Dennis Schirrmacher

  157 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image