Einige Malvertising-Kampagnen, die bösartige Software über Inserate verbreiten, nutzen eine Fingerprinting-Technik und eine Schwachstelle im Internet Explorer zur Vermeidung einer frühzeitigen Entdeckung. In einer GIF-Datei eingebetteter Code hilft den Cyberkriminellen dabei, Honeypot-Fallen sowie Systeme von Sicherheitsforschern zu erkennen – und ihnen nur harmlose Werbung anstelle einer mit Malware angereicherten Anzeigen zu liefern.
Das berichtet Malwarebytes nach einer mehrmonatigen Untersuchung von Schadsoftware, die über Tausende Verlage und mehrere Dutzend Werbenetzwerke – darunter einige der führenden – ausgeliefert wurde. Die Sicherheitsfirma arbeitete dabei mit dem Dienstleister GeoEdge zusammen, der Inserate prüft und als frei von Schadsoftware zertifiziert.
Die Studie (PDF) konzentrierte sich auf im Jahr 2015 durchgeführte Angriffe, die zur Verbreitung von Malware mit dem bekannten Exploit-Kit Angler führten. 42 Prozent der festgestellten Infektionen erfolgten in den USA. Umzusetzen waren die Angriffe zum günstigen Preis von nur 0,19 Dollar für tausend Kontakte.
Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern
Das Webinar “Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern” informiert Sie über die Vorteile von Virtualisierung und skizziert die technischen Grundlagen, die für eine erfolgreiche Implementierung nötig sind. Jetzt registrieren und Aufzeichnung ansehen.
Fingerprinting als neue Taktik schloss dabei wenig sinnvolle Ziele aus, um ausschließlich potentielle Opfer ins Visier zu nehmen. Das ist den Angreifern deshalb wichtig, weil die meisten Malvertising-Attacken relativ frühzeitig erkannt werden und so effektiv abzuwehren sind. Das belastet sie mit dem ständigen Aufwand, neue Kampagnen einzurichten und an den Start zu bringen.
Zu Hilfe kommt den Angreifern dabei eine Schwachstelle (CVE-2013-7331) in Internet Explorer 10 und niedriger, die eine Reihe von Informationen über das jeweilige System preisgibt. Der Fingerprinting-Mechanismus kann so in Erfahrung bringen, ob bestimmte Dateien vorhanden sind, die zu Sicherheitssoftware, Netzwerk-Traffic-Tools und virtuellen Maschinen gehören. Ermitteln lässt sich so etwa auch, ob Sicherheitsprodukte von Malwarebytes, Kaspersky, Trend Micro, Invincea oder anderen Anbietern installiert sind.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de