Bei der Bing-Suche nach "KakaoTalk" sind die Top-3-Ergebnisse komplett chinesisches Phishing

Bei der Bing-Suche nach "KakaoTalk" sind die Top-3-Ergebnisse komplett chinesisches Phishing

Bei einer Suche nach "KakaoTalk" auf Bing sind die Top 3 (apps-kakaocorp[.]com, apps-kakaotalk[.]com, pc-kakaotalk[.]com) allesamt Phishing-Seiten. Die Analyse von Infrastruktur und Code ergab:

• Filterung: Ohne Referer+UA wird 500/403 zurückgegeben (Umgehung von Direktzugriffen/automatischen Scannern)
• Chinesische Infrastruktur: Registrierung über Tencent/DNSpod, 51.la-Analyse, og:locale=zh-cn, Verknüpfung mit chinesischen Telegram-Konten
• Registrierung: Die 3 Domains wurden im Abstand von 1 Sekunde gebündelt registriert, gleiches /24-Subnetz, TLS am selben Tag ausgestellt
• Schadsoftware: Als .scr getarnter NSIS-Installer → fordert Administratorrechte an → entschlüsselt die Payload über DcryptDll.dll → Drop in AppData
• Verteilung: Alle 3 Domains leiten auf dieselbe Cloudflare-CDN-URL weiter (download.i96l6[.]top, Alibaba Cloud)

Die echte offizielle KakaoTalk-Website war dagegen auf Platz 4 verdrängt worden. Da Bing die Standardsuchmaschine von Edge ist, stellt das für Nutzer, die die Einstellung nicht geändert haben, eine erhebliche Bedrohung dar.

Details

Die Struktur zur Erkennungsausweichung ist recht ausgefeilt. Die Phishing-Seite wird nur Nutzern angezeigt, die über Suchmaschinenergebnisse kommen; bei direktem Aufruf der URL oder durch automatische Scanner wird eine leere Seite zurückgegeben. Dadurch wird die Erkennung auch durch öffentliche Analysedienste wie urlscan.io verhindert, und selbst wenn Nutzer misstrauisch werden und die URL direkt prüfen, sehen sie nichts, was Meldungen erschwert.

Die Identifizierung der Angreifer ist vergleichsweise einfach. Im Quellcode finden sich zahlreiche Indikatoren für einen chinesischen Ursprung, darunter Tracking-Code von 51.la (chinesische Webanalyse), og:locale=zh-cn, der Pfad /wenzhang/ und fest einkodierte Telegram-Kontakte. Die Domain-Registrierung lief über Tencent/DNSpod, das CDN über Alibaba Cloud.

Die 3 Domains sind faktisch eine einzige Operation. Die Registry Domain IDs sind fortlaufend, die Registrierung erfolgte gebündelt im Abstand von 1 Sekunde, dazu kommen dasselbe /24-Subnetz, dieselbe Filterlogik und dieselbe Download-URL. Um SEO-Vielfalt zu erzeugen, wurde eine Template-Struktur verwendet, bei der nur Metadaten variiert wurden (seo_templates/index/zd/kk_1/2/3/).

Auf den Download-Pfad wird Session-Gating angewendet. Aufruf der Seite /download → Ausgabe eines PHPSESSID-Cookies → beim Aufruf von /download.php erfolgt per 302 eine Weiterleitung zu einem externen CDN (download.i96l6[.]top). Bei direktem Zugriff auf download.php ohne Cookie wird 500 zurückgegeben.

Die verteilte Datei ist eine PE-Executable mit der Endung .scr (Bildschirmschoner). Es handelt sich um einen NSIS-v3.07-Installer, dessen Metadaten als "Kakao Corp. / KakaoTalk Setup" getarnt sind. Er fordert Administratorrechte an und enthält intern eine DLL zur Laufzeit-Entschlüsselung (DcryptDll.dll) sowie Komponenten von WPS Office (Kingsoft). So werden legitime Software und eine schädliche Payload gleichzeitig installiert, um das Misstrauen der Nutzer zu senken.