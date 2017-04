Betrügerische Inserate leiten zu vorgetäuschten Finanzhandelsplattformen weiter. Das tatsächliche Ziel der Angreifer ist aber, den Nutzern einen Banking-Trojaner unterzuschieben. Sie wählen geeignete Opfer in einem mehrstufigen Verfahren aus.

Malwarebytes meldet eine neue Malvertising-Kampagne, die geeignete Opfer in einem mehrstufigen Verfahren gezielt auswählt. Die Angreifer arbeiten dabei mit gefälschten Websites, die nach dem Muster einer Finanzhandelsplattform für binäre Optionen gemacht sind. Ihr tatsächliches Ziel ist aber, den Opfern einen Banking-Trojaner unterzuschieben und ihre Konten auszuplündern.

In einem Blogeintrag beschreiben die Sicherheitsexperten die zunächst wenig überschaubare Angriffskette. Die Attacke beginnt mit einem Inserat, das über Werbenetzwerke wie Popads oder PlugRush verteilt wird. Dieses leitet die Nutzer zunächst zu einer fingierten Website weiter, die eine schnelle IP-Überprüfung durchführt. Nur im Sinne der Angreifer legitime Nutzer werden dann zu einem Server der zweiten Stufe weitergeleitet, der eine weitere Überprüfung vornimmt – und hier wird erneut unerwünschter Traffic abgewiesen.

Erst wenn Nutzer über die beiden ersten vorgeschobenen Portale kommen, zünden die Angreifer die nächste Stufe mit einem Exploitkit. Die Infektion erfolgt offenbar mit der Variante eines schon lange bekannten Banking-Trojaners, der aber immer noch erfolgreich zum Einsatz kommt. Es handelt sich um Schadsoftware vom Typ ISFB, die auch unter Bezeichnungen wie Dreambot, Gozi und Usrnif verbreitet wurde. Die Malware Gozi ISFB etwa sorgte wiederholt für hohe Schadensbeträge, indem sie Skripte in Browser injizierte, um Anmeldedaten abzufangen, wenn Opfer eine Banking-Site besuchen.

„Banking-Trojaner sind in diesen Tagen ein wenig in Vergessenheit geraten, da sie im Schatten von Ransomware stehen“, kommentiert Malwarebytes. „Sie stellen jedoch noch immer eine erhebliche Gefahr dar und können relativ ungestört im Dunkeln agieren. Sie können Banking-Portale manipulieren und Überweisungen ausführen, ohne dass es die Opfer und vielleicht nicht einmal die Banken bemerken.“

Die Bezeichnung „Binary Options“ verliehen die Sicherheitsexperten der Malvertising-Kampagne, weil dabei zur Ablenkung gefälschte Websites zum Einsatz kommen, die vorgeblich dem Handel mit binären Optionen dienen. Dabei handelt es sich um extrem riskante und oft betrügerische Termingeschäfte, die von Regulierungsbehörden oft vergebens bekämpft werden und in manchen Regionen explizit verboten sind. Dieser Markt spricht besonders risikobereite Anleger an, die auf hohe Gewinne in kurzer Zeit hoffen.