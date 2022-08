von Malte Mansholt Der Zugang zum E-Mail-Postfach ist für einen Hacker der Jackpot. Kein Wunder, dass die Mail-Anbieter auf allerlei Sicherheits-Maßnahmen setzen. Nun wurde eine Methode gefunden, sie alle zu umgehen. Die Spur führt nach Nordkorea.

Wenn es einen einzigen Account gibt, der nie korrumpiert sein sollte, ist das wohl der Mail-Account. Klar, die meisten Mails fallen eher in die Rubriken Newsletter, Werbung und Spam. Kommt es aber hart auf hart, ist der Mail-Account der Schlüssel zu allen anderen: Schließlich erlaubt er es, sämtliche anderen Passwörter zurückzusetzen. Eine neue Malware kann nun das ganze Mail-Konto einfach mitlesen - inklusive Anhängen.

Das haben Forscher der Sicherheitsfirma Volexity entdeckt. In einem Blogpost beschreiben sie den Schädling, der in dieser Art so zuvor nicht beobachtet wurde. Die Angreifer bedienen sich eines cleveren Tricks. Statt sich mit gestohlenen Zugangsdaten in E-Mail-Accounts einzuloggen, kapern sie den Browser mit einer verseuchten Erweiterung. Und können so nicht nur Passwortwechsel, sondern sogar zusätzliche Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung einfach aushebeln.

Spitze Zielgruppe

Die Hacker machen sich dabei verschiedene, bereits vorher bekannte Methoden zunutze, wie man gegen den Willen des Betroffenen Erweiterungen in dessen Browser installiert. Die Basis für die Angriffe sind gezielte, auf den Nutzer zugeschnittene Phishing-Attacken, sogenanntes Spearphishing. Durch sie wird dem Opfer eine Datei untergejubelt, die unbemerkt den Schädling installiert. Der beginnt dann, vom Nutzer unbemerkt sämtliche E-Mails herunterzuladen.

Aktuell scheint die Zielgruppe für den Angriff noch sehr klein zu sein. Die offenbar verantwortliche Hackergruppe "SharpTounge", die mit dem Nordkoreanischen Regime in Verbindung gebracht wird, sucht sich ihre Opfer zwar rund um den Globus, Veloxity berichtet von Angriffen in den USA, Europa und Südkorea. Dabei hat sie aber offenbar ein sehr konkretes Ziel im Auge: Bisher lassen sich alle entdeckten Infektionen mit Sharptext in Institutionen beobachten, die sich mit Nuklearthemen, Waffentechniken und anderen für Nordkorea relevanten Themen befassen, so die Forscher.

Alles deutet auf einen Erfolg

Das spiegelt sich auch im Verhalten des Schädlings wieder. Das bisher nur für Windows und die Browser Chrome, Edge und Whale (ein südkoreanisches Programm auf Basis der Chromium-Engine) beobachtete Sharpext ist vor allem darauf ausgerichtet, möglichst unentdeckt und langfristig Daten aus den verseuchten Postfächern abzugreifen. Dazu trickst es auch den Browser selbst aus: Microsofts Browser Edge zeigt etwa regelmässig Warnungen, wenn eine Erweiterung im sogenannten Dev-Modus aktiv ist, der ihr besondere Rechte erlaubt. Sharpext schaut deshalb ständig nach, ob Edge ein solches Warnungs-Fenster zu öffnen versucht - und versteckt es in Sekundenbruchteilen einfach wieder.

Auch beim Lesen der Mails ist das Programm überraschend wählerisch, wenn es die Hacker so wollen. Sharpext kann Adressen listen, für die es sich nicht interessiert und betreut eine akribische Liste von Mails und Anhängen, die es bereits abgegriffen hat.

Zudem wird das Programm offenbar stetig weiterentwickelt. War es bei der Entdeckung noch ziemlich einfach aufgebaut, sind die Hacker mittlerweile bei der internen Version 3 angelangt - mit deutlich größerem Feature-Umfang. Die Sicherheitsforscher gehen daher davon aus, dass die Bedrohung nicht einfach verschwinden wird: "Die jüngsten Updates und die konstante Wartung deuten darauf hin, dass die Angreifer ihre Ziele erreichen. Und einen Mehrwert darin sehen, das Programm fortzuführen und zu verfeinern."

