Nutzer berichten von vorgetäuschter Werbung in der Skype-App, die zu Ransomware-Infektionen führen kann. Die Malvertising-Inserate drängen zu einem dringenden Update für Adobe Flash Player – aber ein unvorsichtiger Klick löst stattdessen tatsächlich einen mehrstufigen Angriff aus. Auf Anfrage wollte Microsoft dazu keine Stellungnahme abgeben.
Ein betroffener Nutzer beschrieb zuerst auf Reddit und belegte mit einem Screenshot, wie ihm auf dem Skype-Homescreen eine solche bösartige Anzeige begegnete und zur Ausführung einer Datei namens „FlashPlayer.hta“ aufforderte. Weitere Anwender beschwerten sich in den folgenden Tagen über ähnliche Vorfälle mit Skypes In-App-Inseraten, die teilweise ebenfalls für ein angebliches Flash-Update warben.
ZDNet.com bat Experten, den isolierten Code zu untersuchen und seine Funktionsweise zu erklären. Das gefälschte Flash-Inserat war für Windows-Rechner konzipiert und stieß einen Download an, dessen Ausführung ein verschleiertes JavaScript auslösen sollte. Der Code sollte dann die vom Nutzer eben geöffnete Anwendung löschen und einen PowerShell-Befehl ausführen, um ein JavaScript Encoded Script (JSE) herunterzuladen.
Diese aufeinanderfolgenden Schritte dienten offenbar dazu, die Erkennung durch Antivirus-Malware zu vermeiden. „Das ist das, was man allgemein einen zweistufigen Dropper nennt“, erklärte Ali-Reza Anghaie von der Sicherheitsfirma Phobos Group. „Es ist praktisch eine Hilfskomponente der Malware, die dann über das weitere Vorgehen entscheidet – abhängig vom Befehls- und Kontollserver, mit dem sie sich verbindet.“ Er ging außerdem davon aus, dass in 99 Prozent aller Fälle mit Ransomware zu rechnen sei, die den Computer verschlüsselt und anschließend den Nutzer erpresst. Anzeichen sprechen dafür, dass dabei das Exploitkit Angler zum Einsatz kommt, das schon bei früheren Malvertising-Kampagnen beobachtet wurde.
Die Domain, von der der weitere Download erfolgen sollte, existierte jedoch inzwischen nicht mehr, sodass Download und weitergehende Analyse des eigentlichen Malware-Codes nicht mehr möglich waren. Hinter der Fake-Werbung stehen offenbar Angreifer, die laufend die Domains wechseln, um ihre Spuren zu verwischen. Eine weitere Domain fand sich in einem Fake-Flash-Inserat, das zur IBM-Sicherheitsabteilung X-Force hochgeladen wurde. BleepingComputer stellte bei zwei verwendeten Domains fest, dass sie über E-Mail-Adressen registriert wurden, die schon zur Registrierung zahlreicher anderer dubioser Domains verwendet wurden, die im Zusammenhang mit Malware auffielen.
Es ist auch nicht das erste Mal, dass Skype durch Malvertising auffällt. So berichtete Threatpost 2015 von im Skype-Client ausgelieferten Inseraten, die der Verteilung von Schadsoftware dienten. 2016 stießen Sicherheitsforscher auf bösartige Inserate, die Angriffe mit dem Exploitkit Angler bezweckten, das häufig Ransomware transportiert.
[mit Material von Zack Whittaker, ZDNet.com]
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
