Auf Neutrino verweisende Malvertising-Kampagne gestoppt

IT-Sicherheitsforscher berichten über die erfolgreiche Beendigung einer globalen Kampagne, die schädliche Werbung einsetzte, um die Ransomware CrypMIC mit Hilfe des Exploit-Packs Neutrino zu verbreiten. Nach Einschätzung von Cisco Talos stellten diese Angriffe mit schädlicher Werbung für eine Million Anwender in Nordamerika, in Ländern der EU, der asiatisch-pazifischen Region und dem Nahen Osten eine Bedrohung dar.

Es wurde festgestellt, dass die schädlichen Anzeigen, die den Nutzer umleiteten, aus dem Werbenetzwerk OpenX geladen wurden und auf populären Nachrichten- und Porno-Websites erschienen, sowie auf Ressourcen, die finanzielle Themen, Rugby und anderes zum Inhalt haben. Um ein potentielles Opfer umzuleiten, war es interessanterweise ausreichend, dass dieses auf eine Seite mit schädlichem Inhalt ging, andere Aktionen waren seitens des Opfers nicht erforderlich. „Eine charakteristische Besonderheit dieser Kampagne ist ihr wahrhaft globales Ausmaß, sie betraf viele Regionen der Erde und war mehrsprachig“, erklärt Nick Biasini, Forscher bei Cisco.

Die Experten der Spezialabteilung von Cisco entdeckten die Malvertising-Kampagne Anfang letzten Monats. Die im Laufe zweier Wochen zusammengetragenen Daten reichten den Forschern aus, um den Domainregistrar GoDaddy davon zu überzeugen, die Domains zu schließen, die für Redirects auf einen einzelnen Neutrino-Server benutzt wurden, der sich auf russischem Gebiet befand.

Biasini nimmt an, dass die Initiatoren der Malvertising-Kampagne gestohlene Anmeldedaten benutzten, um die Accounts von bestehenden legitimen GoDaddy-Domains zu hacken. Daraufhin erstellten sie Dutzende „saubere“ Subdomains und benutzten sie, um sich das Recht zum Anzeigen von Werbung auf der Plattform OpenX zu erkaufen. Für die Umsetzung der Attacken stahlen die Cybergangster Kontextwerbung auf thematischen Sites und gaben sie als die eigene aus, wobei sie sich die Möglichkeiten von OpenX zunutze machten. Das hatte zur Folge, dass die Besucher legitimer Ressourcen mit schädlicher Werbung auf einer speziell erstellten Subdomain landeten (bei Cisco Talos heißen sie „Gates“), von wo aus sie dann auf Seiten mit Exploits umgeleitet wurden.

„(Ein Gate) ist einfach ein Zwischenglied zwischen dem Redirector (d.h. der kompromittierten Site/der schädlichen Werbung) und dem Zielserver des Exploit-Packs, der das Testen, die Kompromittierung und die Zustellung der Payload übernimmt“, erklärt Biasini“, in seinem Blogpost. Nach Worten des Experten macht es die Verwendung von Gate-Domains den Cyberkriminellen möglich, den aktuellen schädlichen Server schnell zu verlagern, ohne die Umleitungskette zu verändern und somit ein „längerfristige Kampagne zu gewährleisten, ohne die Website oder die Werbeanzeige, bei der die Infektionskette beginnt, ständig modifizieren zu müssen.“

Laut Aussage des Experten verwendeten die Angreifer für die Umleitung auf die Seiten mit den Neutrino-Exploits Gates mit den Skripten Darkleech, Pseudo-Darkleech und EITest. Biasini wies auch darauf hin, dass während der gesamten Beobachtungsphase zwar etwa eine Million Besucher von Websites mit schädlicher Reklame dem Risiko einer Infektion ausgesetzt waren, allerdings nur 0,1% von ihnen von einem Neutrino-Pack angegriffen wurde, das die Ransomware CrypMIC verbreitet.

Die Malvertising-Kampagne, die durch die Bemühungen von Cisco eingestellt werden konnte, hat einmal mehr gezeigt, dass Neutrino derzeit der wichtigste Player auf dem Exploit-Pack-Markt ist. Es besetzt weiterhin eine Nische, die sich nach der Verhaftung der kriminellen Gruppe aufgetan hat, die russische Bürger mit Hilfe des Trojaners Lurk bestohlen hatte. Nach Angaben von Kaspersky Lab nutzten die Mitglieder dieser Bande in großem Ausmaß das Exploit-Pack Angler, um diesen Bank-Schädling in Umlauf zu bringen. Sie haben sich sogar mit seinem Support und seiner Entwicklung beschäftigt, außerdem haben sie es an andere Verbrecher vermietet.

In seinem Bericht unterstrich Biasini, dass Malvertising-Kampagnen eine zunehmende Bedrohung darstellen. „Je mehr Content ins Netz gestellt wird, desto mehr entwickelt sich Online-Werbung zu der Haupteinnahmequelle solcher Websites“, sagt der Experte. „Cyberverbrecher wissen das und ziehen Malvertising immer häufiger anderen, typischeren Methoden vor, Traffic auf die Ressourcen von Exploit-Packs zu lenken.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.