Malvertising-Kampagne verbreitet Exploitkit Angler über beliebte Websites

Eine umfangreiche Malvertising-Kampagne hat Schadsoftware über Werbung bei bekannten Websites wie AOL, MSN, BBC, New York Times und Answers.com verbreitet. Besucher der unwissentlich dafür benutzten Sites fielen dem Exploitkit Angler zum Opfer. Dieses befördert neben Ransomware einen für Überwachung und Datendiebstahl genutzten Trojaner.

Mehrere Sicherheitsfirmen berichten von einem Anstieg bösartigen Traffics über das Wochenende, der mit bei Alexa als besonders beliebt eingestuften Websites in Verbindung stand und von mit Malware angereicherten Inseraten ausging. Laut Trend Micro könnte die Kampagne schon innerhalb der ersten 24 Stunden Zehntausende Besucher betroffen haben. Unklar ist bislang, ob es sich um einen koordinierten Angriff handelt oder eine einzelne Gruppe von Betrügern verantwortlich war.

Die Sicherheitsforscher von Trustwave fanden heraus, dass die Hintermänner „eine ausgelaufene Domain einer kleinen, aber vermutlich legitimen Werbefirma erwarben, um sie für bösartige Zwecke einzusetzen“. BrentsMedia.com habe ihnen den Weg geebnet, beliebte Websites mit hohen Zugriffszahlen für Malvertising zu nutzen. „BrentsMedia war vermutlich ein legitimes Unternehmen. Und obwohl wir nicht sicher sein können, versuchen die Personen hinter diesem Angriff vermutlich, die frühere Reputation dieser Domain zu nutzen, um Werbefirmen für die Veröffentlichung ihrer bösartigen Inserate einzuspannen.“

Weitere Domains, die Malware verteilen, können mit der Kampagne in Zusammenhang stehen. Die betrügerische Werbung enthält eine gründlich getarnte JavaScript-Datei – allerdings mit dem ungewöhnlichen Umfang von 12.000 Codezeilen und damit fast 11.000 mehr als üblich. Sie versucht außerdem sowohl Sicherheitsforscher als auch Website-Besucher mit Antivirensoftware und aktuell gepatchten Systemen auszufiltern, bei denen ein Exploit nichts bringen würde. Besucher mit weniger gesicherten Systemen hingegen erhalten das Angler-Exploitkit mit der Schadsoftware Bedep sowie der Ransomware TeslaCrypt.

Eine solche Vorgehensweise beschrieb Malwarebytes bereits nach einer mehrmonatigen Untersuchung von Schadsoftware, die über Tausende Verlage und mehrere Dutzend Werbenetzwerke – darunter einige der führenden – ausgeliefert wurde. Die Sicherheitsforscher stießen dabei auf Malvertising-Kampagnen, die eine Fingerprinting-Technik und eine Schwachstelle im Internet Explorer zur Vermeidung einer frühzeitigen Entdeckung nutzten. In einer GIF-Datei eingebetteter Code half den Cyberkriminellen dabei, Honeypot-Fallen sowie Systeme von Sicherheitsforschern zu erkennen – und ihnen nur harmlose Werbung anstelle einer mit Malware angereicherten auszuliefern.

Der Fingerprinting-Mechanismus brachte dabei in Erfahrung, ob bestimmte Dateien vorhanden sind, die zu Sicherheitssoftware, Netzwerk-Traffic-Tools und virtuellen Maschinen gehören. Ermitteln lässt sich so etwa auch, ob Sicherheitsprodukte von Malwarebytes, Kaspersky, Trend Micro, Invincea und anderen installiert sind.

Diese Vorgehensweise schließt wenig sinnvolle Ziele aus, um ausschließlich potentielle Opfer ins Visier zu nehmen. Das ist den Angreifern deshalb wichtig, weil die meisten Malvertising-Attacken relativ frühzeitig erkannt werden und so effektiv abzuwehren sind. Das belastet sie mit dem ständigen Aufwand, neue Kampagnen einzurichten und an den Start zu bringen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de