Webhooks beschreibt Talos als eine Art „umgekehrte API": Sie erlauben es einer Anwendung, einer anderen Daten in Echtzeit bereitzustellen. Eine solche URL registriert eine Anwendung als „Listener", der Daten empfängt – darunter auch programmgesteuert abgerufene HTML-Inhalte. Trifft eine Anfrage bei der URL ein, werden die folgenden Workflow-Schritte ausgelöst und das Ergebnis als HTTP-Datenstrom zurückgegeben. Wird die URL über eine E-Mail aufgerufen, fungiert der Browser des Empfängers als empfangende Anwendung und verarbeitet die Ausgabe als Webseite.

Genau das eröffnet Angreifern einen neuen Weg, Schadsoftware zu verbreiten und dabei den Anschein von Seriosität zu wahren, weil die Inhalte scheinbar von einer vertrauenswürdigen Domain stammen.

In einer von Talos beobachteten Kampagne betteten die Angreifer einen auf n8n gehosteten Webhook-Link in E-Mails ein, die ein angeblich geteiltes Dokument vortäuschten. Ein Klick führte auf eine Webseite mit einem CAPTCHA; nach dessen Lösung wurde der Download einer schädlichen Datei von einem externen Host ausgelöst. Da der gesamte Vorgang im JavaScript des HTML-Dokuments gekapselt ist, erscheint der Download für den Browser so, als käme er von der n8n-Domain.

Ziel des Angriffs ist die Auslieferung einer ausführbaren Datei oder eines MSI-Installers. Dieser dient als Einfallstor für modifizierte Versionen legitimer Remote-Monitoring-and-Management-Werkzeuge (RMM) wie Datto und ITarian Endpoint Management. Über sie etablieren die Angreifer Persistenz, indem sie eine Verbindung zu einem Command-and-Control-Server (C2) aufbauen.

Ein zweiter verbreiteter Fall betrifft das Fingerprinting. Dabei betten die Angreifer ein unsichtbares Bild beziehungsweise einen Tracking-Pixel ein, der auf einer n8n-Webhook-URL liegt. Sobald die E-Mail im Mail-Programm geöffnet wird, sendet sie automatisch eine HTTP-GET-Anfrage an die n8n-URL – samt Tracking-Parametern wie der E-Mail-Adresse des Opfers, sodass die Angreifer den Empfänger identifizieren können.

Dieselben Workflows, die Entwicklern manuelle Arbeit ersparen sollen, würden nun aufgrund ihrer Flexibilität, einfachen Integrierbarkeit und nahtlosen Automatisierung zur Verbreitung von Malware und zum Fingerprinting umfunktioniert, so Talos. Es liege in der Verantwortung der Sicherheitsteams, dafür zu sorgen, dass solche Low-Code-Automatisierungsplattformen ein Vorteil und keine Schwachstelle blieben.