Eine umfangreiche Malvertising-Kampagne hat Schadsoftware über Werbung bei bekannten Websites wie AOL, MSN, BBC, New York Times und Answers.com verbreitet. Besucher der unwissentlich dafür benutzten Sites fielen dem Exploitkit Angler zum Opfer. Dieses befördert neben Ransomware einen für Überwachung und Datendiebstahl genutzten Trojaner.
Die Sicherheitsforscher von Trustwave fanden heraus, dass die Hintermänner „eine ausgelaufene Domain einer kleinen, aber vermutlich legitimen Werbefirma erwarben, um sie für bösartige Zwecke einzusetzen“. BrentsMedia.com habe ihnen den Weg geebnet, beliebte Websites mit hohen Zugriffszahlen für Malvertising zu nutzen. „BrentsMedia war vermutlich ein legitimes Unternehmen. Und obwohl wir nicht sicher sein können, versuchen die Personen hinter diesem Angriff vermutlich, die frühere Reputation dieser Domain zu nutzen, um Werbefirmen für die Veröffentlichung ihrer bösartigen Inserate einzuspannen.“
Weitere Domains, die Malware verteilen, können mit der Kampagne in Zusammenhang stehen. Die betrügerische Werbung enthält eine gründlich getarnte JavaScript-Datei – allerdings mit dem ungewöhnlichen Umfang von 12.000 Codezeilen und damit fast 11.000 mehr als üblich. Sie versucht außerdem sowohl Sicherheitsforscher als auch Website-Besucher mit Antivirensoftware und aktuell gepatchten Systemen auszufiltern, bei denen ein Exploit nichts bringen würde. Besucher mit weniger gesicherten Systemen hingegen erhalten das Angler-Exploitkit mit der Schadsoftware Bedep sowie der Ransomware TeslaCrypt.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Eine solche Vorgehensweise beschrieb Malwarebytes bereits nach einer mehrmonatigen Untersuchung von Schadsoftware, die über Tausende Verlage und mehrere Dutzend Werbenetzwerke – darunter einige der führenden – ausgeliefert wurde. Die Sicherheitsforscher stießen dabei auf Malvertising-Kampagnen, die eine Fingerprinting-Technik und eine Schwachstelle im Internet Explorer zur Vermeidung einer frühzeitigen Entdeckung nutzten. In einer GIF-Datei eingebetteter Code half den Cyberkriminellen dabei, Honeypot-Fallen sowie Systeme von Sicherheitsforschern zu erkennen – und ihnen nur harmlose Werbung anstelle einer mit Malware angereicherten auszuliefern.
Der Fingerprinting-Mechanismus brachte dabei in Erfahrung, ob bestimmte Dateien vorhanden sind, die zu Sicherheitssoftware, Netzwerk-Traffic-Tools und virtuellen Maschinen gehören. Ermitteln lässt sich so etwa auch, ob Sicherheitsprodukte von Malwarebytes, Kaspersky, Trend Micro, Invincea und anderen installiert sind.
Diese Vorgehensweise schließt wenig sinnvolle Ziele aus, um ausschließlich potentielle Opfer ins Visier zu nehmen. Das ist den Angreifern deshalb wichtig, weil die meisten Malvertising-Attacken relativ frühzeitig erkannt werden und so effektiv abzuwehren sind. Das belastet sie mit dem ständigen Aufwand, neue Kampagnen einzurichten und an den Start zu bringen.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Laut CAM-Studie sehen 40 Prozent der Autofahrer vernetzte Fahrzeuge mit Software-Updates als Bedrohung an.
Wahlen in mehr als 60 Ländern und rund 2 Milliarden potenziellen Wählern, ist ein gefundenes…
Sie verfallen spätestens nach einer Stunde. Firefox 131 enthält zudem Fixes für 13 Anfälligkeiten, die…
Mobile Malware-Kampagne richtet sich gezielt gegen Banking-Apps.
Betroffen ist das Update KB5043145 für Windows 11 23H2 und 22H2. Es löst unter Umständen…
Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Microsoft stuft die Anfälligkeit bisher nicht als…