Malvertising: Inserate in Skype verbreiten Schadsoftware

Nutzer berichten von vorgetäuschter Werbung in der Skype-App, die zu Ransomware-Infektionen führen kann. Die Malvertising-Inserate drängen zu einem dringenden Update für Adobe Flash Player – aber ein unvorsichtiger Klick löst stattdessen tatsächlich einen mehrstufigen Angriff aus. Auf Anfrage wollte Microsoft dazu keine Stellungnahme abgeben.

Ein betroffener Nutzer beschrieb zuerst auf Reddit und belegte mit einem Screenshot, wie ihm auf dem Skype-Homescreen eine solche bösartige Anzeige begegnete und zur Ausführung einer Datei namens „FlashPlayer.hta“ aufforderte. Weitere Anwender beschwerten sich in den folgenden Tagen über ähnliche Vorfälle mit Skypes In-App-Inseraten, die teilweise ebenfalls für ein angebliches Flash-Update warben.

ZDNet.com bat Experten, den isolierten Code zu untersuchen und seine Funktionsweise zu erklären. Das gefälschte Flash-Inserat war für Windows-Rechner konzipiert und stieß einen Download an, dessen Ausführung ein verschleiertes JavaScript auslösen sollte. Der Code sollte dann die vom Nutzer eben geöffnete Anwendung löschen und einen PowerShell-Befehl ausführen, um ein JavaScript Encoded Script (JSE) herunterzuladen.

Diese aufeinanderfolgenden Schritte dienten offenbar dazu, die Erkennung durch Antivirus-Malware zu vermeiden. „Das ist das, was man allgemein einen zweistufigen Dropper nennt“, erklärte Ali-Reza Anghaie von der Sicherheitsfirma Phobos Group. „Es ist praktisch eine Hilfskomponente der Malware, die dann über das weitere Vorgehen entscheidet – abhängig vom Befehls- und Kontollserver, mit dem sie sich verbindet.“ Er ging außerdem davon aus, dass in 99 Prozent aller Fälle mit Ransomware zu rechnen sei, die den Computer verschlüsselt und anschließend den Nutzer erpresst. Anzeichen sprechen dafür, dass dabei das Exploitkit Angler zum Einsatz kommt, das schon bei früheren Malvertising-Kampagnen beobachtet wurde.

Die Domain, von der der weitere Download erfolgen sollte, existierte jedoch inzwischen nicht mehr, sodass Download und weitergehende Analyse des eigentlichen Malware-Codes nicht mehr möglich waren. Hinter der Fake-Werbung stehen offenbar Angreifer, die laufend die Domains wechseln, um ihre Spuren zu verwischen. Eine weitere Domain fand sich in einem Fake-Flash-Inserat, das zur IBM-Sicherheitsabteilung X-Force hochgeladen wurde. BleepingComputer stellte bei zwei verwendeten Domains fest, dass sie über E-Mail-Adressen registriert wurden, die schon zur Registrierung zahlreicher anderer dubioser Domains verwendet wurden, die im Zusammenhang mit Malware auffielen.

Es ist auch nicht das erste Mal, dass Skype durch Malvertising auffällt. So berichtete Threatpost 2015 von im Skype-Client ausgelieferten Inseraten, die der Verteilung von Schadsoftware dienten. 2016 stießen Sicherheitsforscher auf bösartige Inserate, die Angriffe mit dem Exploitkit Angler bezweckten, das häufig Ransomware transportiert.

[mit Material von Zack Whittaker, ZDNet.com]