News

Angler: neues Flash-Exploit, Zustellung von Cryptowall 3.0

Angler hat sich bereits als eins der fortschrittlichsten Exploit-Packs auf dem Schwarzmarkt empfohlen, doch trotzdem entwickelt es sich fortwährend weiter. In dieser Woche wurde beobachtet, dass dieses Hackertool die neuste Version der Erpressersoftware CryptoWall bereitstellt und eine weitere Lücke ausnutzt, die bereits von Adobe gepatcht wurde.

Die Verbreiter von Verschlüsselungs- und Erpressungssoftware haben Angler schon früher zu ihren Zwecken eingesetzt, so wurde vor kurzem etwa ein Hybrid aus TeslaCrypt und AlphaCrypt entdeckt, der mit Hilfe von Exploits aus eben dieser Sammlung in Umlauf gebracht wird. Sicherheitslücken in den Adobe-Produkten werden im laufenden Jahr regelmäßig dem Angler-Bestand hinzugefügt, eine davon kam kürzlich im Rahmen einer click-fraud-Kampagne unter Beteiligung des Trojaners Bedep zur Anwendung.

Brad Duncan vom SANS Internet Storm Center schreibt in einem Eintrag vom vergangenen Donnerstag, er habe letzte Woche zwei Fälle von Angler-Attacken beobachtet, im Zuge derer Cryptowall 3.0 verteilt wurde, in einem Fall sogar als Dreingabe zu Bedep.

Laut Duncan verwendete der Kryptoblocker in beiden Fällen ein und dieselbe Bitcoin-Adresse für die Lösegeldzahlung. Die Höhe der Summe, die die Opfer für die Entschlüsselungsdateien zahlen sollten, entsprach mit 500 US-Dollar dem Standard.

(Screenshot von der Website von ISC SANS)

„Normalerweise sehe ich, dass Angler verschiedene Blocker in Umlauf bringt“, schreibt der Forscher in dem Blog von ISC SANS. „ Und ich hatte es auch schon mit Samples von CryptoWall 3.0 zu tun, die mit Hilfe des Exploit-Packs Magnitude verteilt wurden. Doch dass Angler CryptoWall austeilt, sehe ich zum ersten Mal.“

Die Experten von FireEye erklären, dass im Repertoire von Angler nun ein weiteres Exploit für den Adobe Flash Player aufgetaucht sei. Die entsprechende Sicherheitslücke, CVE-2015-3090, hat Adobe vor zwei Wochen geschlossen. Es handelt sich dabei um eine Speicherkorruptions-Schwachstelle, die von Chris Evans vom Google Project Zero entdeckt wurde. Angler greift diese Lücke an und versucht eine Wettlaufsituation auszunutzen, die bei der Initialisierung von Objekten der Shader Klasse auftritt. Ein erfolgreiches Exploit ermöglicht es den Angreifern, willkürlichen Code auszuführen und die Anwender-Systeme zu infizieren, die bisher noch nicht aktualisiert wurden.

Die Erweiterung der Angler-Sammlung um Exploits, die sich gegen Adobe-Produkte richten, ist an sich nichts Neues, doch den Experten von FireEye zufolge ist es eine beunruhigende Tendenz.

Im vergangenen Januar wurden dem Pack zwei Exploits für Flash hinzugefügt, darunter auch für eine Zero-Day-Sicherheitslücke, die dann zum Installieren von Bedep benutzt wurde. Im April war dann CVE-2015-0359 an der Reihe, und einen Monat zuvor erlangte Angler die Möglichkeit CVE-2015-0336 auszunutzen, ebenfalls in Flash, sowie eine Schwachstelle im IE, die zu dem Zeitpunkt bereits gepatcht war.

Im März eigneten die Betreiber des Exploit-Packs sich zudem eine neue Technik zur Umgehung des Schutzes an, die seither als „Domain Shadowing“ bekannt ist. Unter Verwendung von gestohlenen Account-Daten registrieren sie eine Vielzahl von Subdomains und nutzen sie als Umleitungen auf schädliche Websites.

Quellen:

Internet Storm Center

Threatpost

Angler: neues Flash-Exploit, Zustellung von Cryptowall 3.0

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach