Die Sicherheitsfirma Volexity entdeckte einen Angriff, bei dem die als "StormBamboo" bekannte Hackergruppe DNS-Anfragen auf ISP-Ebene manipulierte, um bösartige Software auf Mac- und Windows-Systeme zu verteilen.

Die Hacker nutzten dabei eine besonders raffinierte Methode: Sie zielten auf Programme ab, die unsichere Update-Mechanismen verwenden, insbesondere solche, die HTTP statt HTTPS nutzen und digitale Signaturen nicht überprüfen. Wenn diese Applikationen versuchten, Updates herunterzuladen, installierten sie aufgrund der DNS-Umleitung stattdessen Malware wie MACMA und POCOSTICK von Servern der Angreifer.

In dem Fall betroffen war die Software 5KPlayer. Die Hacker ersetzten im Zuge des fehlgeleiteten Updates dann die legitime Konfigurationsdatei durch eine modifizierte Variante. Dies führte dazu, dass die Software ein mit Malware infiziertes File herunterludt und ausführte. Die eingeschleuste Schadsoftware diente dann wiederum als Sprungbrett für die Installation weiterer Schadsoftware, angepasst an das jeweilige Betriebssystem des Opfers.

In einem Fall beobachteten die Forscher, wie StormBamboo nach der erfolgreichen Kompromittierung eines macOS-Geräts eine bösartige Google-Chrome-Erweiterung namens RELOADEXT installierte. Diese Erweiterung tarnte sich als Kompatibilitätstool für den Internet Explorer, hatte aber tatsächlich den Zweck, Browser-Cookies zu stehlen und an ein vom Angreifer kontrolliertes Google Drive-Konto zu senden.

Die Sicherheitsexperten betonen die hohe Kompetenz und Aggressivität von StormBamboo. Die Gruppe investiert offenbar erhebliche Ressourcen in die Entwicklung verschiedener Malware-Varianten für unterschiedliche Plattformen. Die Tatsache, dass die Angreifer in der Lage waren, die Infrastruktur eines Internetanbieters zu kompromittieren, unterstreicht die Raffinesse und potenzielle Gefährlichkeit dieser Cyberkriminellen. Der Fall verdeutlicht die Notwendigkeit verbesserter Sicherheitsmaßnahmen bei Software-Updates und DNS-Infrastrukturen.