Malvertising-Kampagne nimmt Mac-Nutzer mit Steganographie ins Visier

Der Sicherheitsanbieter Confiant hat eine Malvertising-Kampagne aufgedeckt, die sich gegen Nutzer von Apples Desktopbetriebssystem macOS richtet. Sie ist den Forschern zufolge aufgrund ihrer Größe, Reichweite und den zur Verfügung stehenden Ressourcen bemerkenswert: In nur zwei Tagen wurden jeweils 5 Millionen speziell präparierte Anzeigen ausgeliefert, die per Steganographie in Bildern versteckten JavaScript-Code enthielten, um Mac-Nutzer mit einem Trojaner zu infizieren.

Die für den Angriff verantwortliche Gruppe nennt Confiant einem Bericht von Ars Technica zufolge VeryMal, und zwar nach der Domain veryield-malyst.com, die von der Gruppe zur Auslieferung der Anzeigen benutzt wurde. Die Kampagne war demnach vom 11. bis 13. Januar auf etwa 25 der 100 Top-Websites aktiv.

Um den Schadcode unbemerkt einschleusen zu können und einer Erkennung durch Sicherheitssoftware zu entgehen, wurde er in Bildern eingebettet. Das Bild selbst sah dem Bericht zufolge unauffällig aus. Per HTML5 hatten die Hintermänner jedoch ein Canvas-Objekt erstellt, das mithilfe von Mac-spezifischen Schriften in mehreren Durchgängen einzelne Pixel des Bilds in alphanumerische Zeichen übersetzte und zu einem Text-String zusammenfügte.

Dieser Code wiederum führte laut der zusammen mit Forschern von Malwarebytes durchgeführten Analyse Mac-Nutzer zu einer speziell präparierten Website, auf der behauptet wurde, der Flash Player des Besuchers sei veraltet und benötige ein Update. Besucher, die auf diesen Trick hereinfielen, installierten statt des Updates einen Trojaner, der wiederum weitere Adware einschleuste.

Die jetzt aufgedeckte Kampagne war dem Bericht zufolge nicht die erste Aktivität der VeryMal-Gruppe. Eine ähnliche Kampagne nahm im Dezember bereits neben Mac- auch iOS-Nutzer ins Visier. Die Cyberkriminellen hatten es aber auch schon auf Windows-Nutzer abgesehen, ohne dabei jedoch auf die Steganografie-Techniken zurückzugreifen.

Werbung ist ein inzwischen beliebtes Medium, um Schadsoftware zu verbreiten – trotz der Bemühungen von Werbenetzwerken, gefährliche oder speziell präparierte Anzeigen vorab zu erkennen und zu sperren. Solche Anzeigen können unter anderem Zero-Day-Lücken ausnutzen, um Schadsoftware sogar als Drive-by-Download einzuschleusen, unter Umständen ohne Interaktion mit einem Nutzer. In den meisten Fällen – wie auch bei der jetzt aufgedeckten Kampagne – sind die Hintermänner auf die Unterstützung der Nutzer angewiesen. Die sollten immer dann skeptisch sein und Anzeigen meiden, wenn diese Schaltflächen wie „OK“ oder „Download“ enthalten. Vor allem wird weder für die Anzeige von Werbung noch für die Videowiedergabe ein Update für den Adobe Flash Player benötigt. Solche Inhalte werden per HTML5 ausgeliefert und Browser warnen von sich aus vor einem veralteten Flash-Plug-in – nicht die von ihnen dargestellten Websites.