Eine umfangreiche Malvertising-Kampagne hat Schadsoftware über Werbung bei bekannten Websites wie AOL, MSN, BBC, New York Times und Answers.com verbreitet. Besucher der unwissentlich dafür benutzten Sites fielen dem Exploitkit Angler zum Opfer. Dieses befördert neben Ransomware einen für Überwachung und Datendiebstahl genutzten Trojaner.
Die Sicherheitsforscher von Trustwave fanden heraus, dass die Hintermänner „eine ausgelaufene Domain einer kleinen, aber vermutlich legitimen Werbefirma erwarben, um sie für bösartige Zwecke einzusetzen“. BrentsMedia.com habe ihnen den Weg geebnet, beliebte Websites mit hohen Zugriffszahlen für Malvertising zu nutzen. „BrentsMedia war vermutlich ein legitimes Unternehmen. Und obwohl wir nicht sicher sein können, versuchen die Personen hinter diesem Angriff vermutlich, die frühere Reputation dieser Domain zu nutzen, um Werbefirmen für die Veröffentlichung ihrer bösartigen Inserate einzuspannen.“
Weitere Domains, die Malware verteilen, können mit der Kampagne in Zusammenhang stehen. Die betrügerische Werbung enthält eine gründlich getarnte JavaScript-Datei – allerdings mit dem ungewöhnlichen Umfang von 12.000 Codezeilen und damit fast 11.000 mehr als üblich. Sie versucht außerdem sowohl Sicherheitsforscher als auch Website-Besucher mit Antivirensoftware und aktuell gepatchten Systemen auszufiltern, bei denen ein Exploit nichts bringen würde. Besucher mit weniger gesicherten Systemen hingegen erhalten das Angler-Exploitkit mit der Schadsoftware Bedep sowie der Ransomware TeslaCrypt.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Eine solche Vorgehensweise beschrieb Malwarebytes bereits nach einer mehrmonatigen Untersuchung von Schadsoftware, die über Tausende Verlage und mehrere Dutzend Werbenetzwerke – darunter einige der führenden – ausgeliefert wurde. Die Sicherheitsforscher stießen dabei auf Malvertising-Kampagnen, die eine Fingerprinting-Technik und eine Schwachstelle im Internet Explorer zur Vermeidung einer frühzeitigen Entdeckung nutzten. In einer GIF-Datei eingebetteter Code half den Cyberkriminellen dabei, Honeypot-Fallen sowie Systeme von Sicherheitsforschern zu erkennen – und ihnen nur harmlose Werbung anstelle einer mit Malware angereicherten auszuliefern.
Der Fingerprinting-Mechanismus brachte dabei in Erfahrung, ob bestimmte Dateien vorhanden sind, die zu Sicherheitssoftware, Netzwerk-Traffic-Tools und virtuellen Maschinen gehören. Ermitteln lässt sich so etwa auch, ob Sicherheitsprodukte von Malwarebytes, Kaspersky, Trend Micro, Invincea und anderen installiert sind.
Diese Vorgehensweise schließt wenig sinnvolle Ziele aus, um ausschließlich potentielle Opfer ins Visier zu nehmen. Das ist den Angreifern deshalb wichtig, weil die meisten Malvertising-Attacken relativ frühzeitig erkannt werden und so effektiv abzuwehren sind. Das belastet sie mit dem ständigen Aufwand, neue Kampagnen einzurichten und an den Start zu bringen.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
