Ransomware Locky: Angreifer nutzen Soziale Medien für rasante Verbreitung

Kriminelle nutzen eine fehlerhafte Konfiguration bei Angeboten wie Facebook und LinkedIn. Auf diese Weise schaffen sie es, dass ein Bild heruntergeladen und nicht nur betrachtet wird. Die ImageGate genannte Methode findet derzeit hauptsächlich in Sozialen Medien Anwendung.

Eine Erklärung dafür, wieso sich die Ransomware Locky seit einigen Tagen rasant über Soziale Medien, insbesondere über Facebook, ausbreiten kann, haben jetzt wohl Sicherheitsforscher von Checkpoint gefunden. Angreifer machen sich ihnen zufolge dabei eine Fehlkonfiguration in der Infrastruktur der Dienste zunutze. Dadurch ist es möglich, dass deren Nutzer, wenn sie ein Bild betrachten wollen, dazu gedrängt werden, dieses herunterzuladen, weil sie es online nicht sehen können.

Kriminelle machen sich diese Lücke, die der Checkpoint-Experte ImageGate nennt, zunutze, um Malware in Bild- und Grafikdateien einzubetten. Dadurch wird mit dem Download des Bildes auch die Malware übertragen. Checkpoint hat Facebook und LinkedIn eigenen Angaben zufolge bereits Anfang September über diese Schwachstelle informiert. Checkpoint will detaillierte technische Informationen zum Angriffsvektor erst öffentlich bekannt machen, wenn die Schwachstelle in den wichtigsten betroffenen Webseiten behoben ist.

Der Sündenfall: Wer hier auf Download klickt, hat schon fast verloren (Screenshot: silicon.de bei Youtube)Der Sündenfall: Wer hier auf Download klickt, hat schon fast verloren (Screenshot: silicon.de bei Youtube)

Nachdem die Locky-Ransomware mittels der Bilddatei übertragen und dann automatisch installiert wurde verschlüsselt sie alle Dateien auf dem Endgerät. Wie üblich wird dann die Zahlung eines Lösegelds verlangt.

„Cyberkriminelle wissen, dass diese Seiten normalerweise auf der ‚Positivliste‘ stehen, und aus diesem Grund sind sie kontinuierlich auf der Suche nach neuen Techniken, mit denen sie die Sozialen Medien als Hosts für ihre böswilligen Aktionen nutzen können“, erklärt Oded Vanunu, Leiter Products Vulnerability Research bei Checkpoint, in einer Pressemitteilung.

Die Sicherheitsexperten raten Anwendern, falls sie bei Facebook und anderen derartigen Diensten ein Bild angeklickt haben und der Browser damit beginnt, eine Datei herunterzuladen, diese auf keinen Fall zu öffnen. Ist alles in Ordnung, sollten die Webseiten der Sozialen Medien das Bild anzeigen, ohne das eine Datei heruntergeladen werden muss. Außerdem sollte man sich davor hüten, Bilddatei mit „ungewöhnlicher Dateinamenerweiterung“ (etwa SVG, JS oder HTA) zu öffnen.


In einem Video bei Youtube zeigt Checkpoint, wie der Angriff mit der in Bildern eingebetteter Ransomware über die Schwachstelle in Facebook abläuft.

[Mit Material von Peter Marwan, silicon.de]

Themenseiten: Malware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin ZDNet
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Ransomware Locky: Angreifer nutzen Soziale Medien für rasante Verbreitung

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *