Categories: SicherheitVirus

Malvertising: Inserate in Skype verbreiten Schadsoftware

Nutzer berichten von vorgetäuschter Werbung in der Skype-App, die zu Ransomware-Infektionen führen kann. Die Malvertising-Inserate drängen zu einem dringenden Update für Adobe Flash Player – aber ein unvorsichtiger Klick löst stattdessen tatsächlich einen mehrstufigen Angriff aus. Auf Anfrage wollte Microsoft dazu keine Stellungnahme abgeben.

Ein betroffener Nutzer beschrieb zuerst auf Reddit und belegte mit einem Screenshot, wie ihm auf dem Skype-Homescreen eine solche bösartige Anzeige begegnete und zur Ausführung einer Datei namens „FlashPlayer.hta“ aufforderte. Weitere Anwender beschwerten sich in den folgenden Tagen über ähnliche Vorfälle mit Skypes In-App-Inseraten, die teilweise ebenfalls für ein angebliches Flash-Update warben.

ZDNet.com bat Experten, den isolierten Code zu untersuchen und seine Funktionsweise zu erklären. Das gefälschte Flash-Inserat war für Windows-Rechner konzipiert und stieß einen Download an, dessen Ausführung ein verschleiertes JavaScript auslösen sollte. Der Code sollte dann die vom Nutzer eben geöffnete Anwendung löschen und einen PowerShell-Befehl ausführen, um ein JavaScript Encoded Script (JSE) herunterzuladen.

Diese aufeinanderfolgenden Schritte dienten offenbar dazu, die Erkennung durch Antivirus-Malware zu vermeiden. „Das ist das, was man allgemein einen zweistufigen Dropper nennt“, erklärte Ali-Reza Anghaie von der Sicherheitsfirma Phobos Group. „Es ist praktisch eine Hilfskomponente der Malware, die dann über das weitere Vorgehen entscheidet – abhängig vom Befehls- und Kontollserver, mit dem sie sich verbindet.“ Er ging außerdem davon aus, dass in 99 Prozent aller Fälle mit Ransomware zu rechnen sei, die den Computer verschlüsselt und anschließend den Nutzer erpresst. Anzeichen sprechen dafür, dass dabei das Exploitkit Angler zum Einsatz kommt, das schon bei früheren Malvertising-Kampagnen beobachtet wurde.

Die Domain, von der der weitere Download erfolgen sollte, existierte jedoch inzwischen nicht mehr, sodass Download und weitergehende Analyse des eigentlichen Malware-Codes nicht mehr möglich waren. Hinter der Fake-Werbung stehen offenbar Angreifer, die laufend die Domains wechseln, um ihre Spuren zu verwischen. Eine weitere Domain fand sich in einem Fake-Flash-Inserat, das zur IBM-Sicherheitsabteilung X-Force hochgeladen wurde. BleepingComputer stellte bei zwei verwendeten Domains fest, dass sie über E-Mail-Adressen registriert wurden, die schon zur Registrierung zahlreicher anderer dubioser Domains verwendet wurden, die im Zusammenhang mit Malware auffielen.

Es ist auch nicht das erste Mal, dass Skype durch Malvertising auffällt. So berichtete Threatpost 2015 von im Skype-Client ausgelieferten Inseraten, die der Verteilung von Schadsoftware dienten. 2016 stießen Sicherheitsforscher auf bösartige Inserate, die Angriffe mit dem Exploitkit Angler bezweckten, das häufig Ransomware transportiert.

[mit Material von Zack Whittaker, ZDNet.com]

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

8 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

12 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

13 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

13 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

15 Stunden ago