Hacker verbreiten Malware mithilfe manipulierter Anzeigen auf Youtube

Trend Micro warnt vor einer Malware-Kampagne, bei der Cyberkriminelle manipulierte Anzeigen auf Youtube benutzen, um Nutzer zu speziell präparierten Websites zu leiten, die wiederum Schadsoftware verbreiten. Bisher sind davon offenbar in erster Linie Anwender in den USA betroffen. Über einen Zeitraum von 30 Tagen zählte die Sicherheitsfirma dort alleine mehr als 130.000 Opfer.

„Das ist eine beunruhigende Entwicklung“, schreibt Joseph C. Chen, Fraud Researcher bei Trend Micro, in einem Blogeintrag. „Nicht nur, dass gefährliche Anzeigen auf Youtube erscheinen, sie waren in Videos mit mehr als 11 Millionen Betrachtern.“ Unter anderem habe Trend Micro eine manipulierte Anzeige in einem Musikvideo im offiziellen Kanal eines bekannten Labels gefunden.

95,84 Prozent der betroffenen Systeme hat Trend Micro in den USA entdeckt. Darüber hinaus fanden sich auch infizierte Rechner in Japan (4,02 Prozent), Italien (0,03 Prozent), Belgien (0,02 Prozent) und der Türkei (0,02 Prozent).

Die Anzeigen führen Nutzer laut Trend Micro aber nicht direkt auf eine manipulierte Website. Stattdessen werde der Verkehr über zwei Werbe-Sites geleitet, die Subdomains einer polnischen Regierungswebsite benutzen. Durch eine Modifizierung von DNS-Informationen seien die Hacker in der Lage gewesen, eigene Subdomains anzulegen. Der eigentliche Server der Hacker befinde sich in den USA.

Die manipulierte Website wiederum hostet ein Exploit-Kit namens Sweet Orange. Es enthält Schadcode für vier bekannte Schwachstellen in Oracle Java, Adobe Flash Player und Microsoft Internet Explorer. Nutzer, die eine dieser Lücken nicht gepatcht haben, laufen beim Besuch der Website Gefahr, ihren Rechner mit einer Variante des Trojaners Kovter zu infizieren.

„Diese Familie wird für verschiedene Ransomware-Angriffe benutzt“, heißt es weiter in dem Blogeintrag. Allerdings sei Kovter im Gegensatz zu Cryptolocker nicht in der Lage, Dateien zu verschlüsseln. Zudem seien die Websites, die im Zusammenhang mit Kovter zur Anzeige falscher Warnmeldungen benutzt wurden, nicht mehr erreichbar.

Trend Micro rät Nutzern, stets alle verfügbaren Sicherheitsupdates von Anbietern wie Microsoft, Oracle und Adobe zu installieren. Microsoft habe beispielsweise die fraglichen Anfälligkeiten in seinem Browser schon im Mai 2013 beseitigt. Auch alte Sicherheitslücken würden immer noch von Angreifern ausgenutzt.

Tipp: Kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de