Schädliche Werbung nutzt SSL-Redirects

Die Experten des IT-Sicherheitsunternehmens Cyphort beobachten eine umfangreiche Kampagne, die Werbebanner für die Umleitung der Nutzer auf Seiten des Exploit-Packs Angler benutzt. Als Umleitungsmedium verwenden die Cyberkriminellen populäre Websites, deren Inhaber zumeist nicht ahnen, dass sie als unfreiwillige Mittler in einem Infektionsschema dienen. Nach Einschätzung von Cyphort wurden sie innerhalb von zehn Julitagen insgesamt von etwa 10 Millionen Anwendern besucht – potentiellen Opfern der Exploit-Attacke. Wirklich interessant ist, dass die Angreifer, um ihre Aktivität zu verbergen, Redirect-Code mit SSL-Verschlüsselung verwenden.

Eine deutliche Zunahme der Detektionen, die mit Angler in Verbindung gebracht werden, registrierte Cyphort erstmals am 11. Juli. Seither entdeckten die Forscher eine Vielzahl von Sites, die in die Kette schädlicher Redirects involviert waren und die sich mindestens drei Mal änderten. Zunächst benutzten die Angreifer zu diesem Zweck populäre Ressourcen, die in Vietnam, der Türkei, Japan, Saudi Arabien und Deutschland registriert sind. Sie alle leiteten die Besucher auf ein SSL-Redirect um, das auf der Domain des deutschen Marketing-Unternehmens Adtech (im Besitz von AOL) platziert ist oder auf den Cloud-Service Microsoft Azure.

Fünf Tage später, am 16. Juli, bemerkte Cyphort einen Wechsel des wichtigsten SSL-Redirects: Die Cyberkriminellen hatten ihr Skript auf die Online-Ressource eines anderen Marketing-Unternehmens, E-planning, übertragen, und die Erst-Köder auf Websites mit hohem Traffic-Aufkommen, die in den USA und in Südostasien registriert sind. Ende Juli gehörten zu den unfreiwilligen Beteiligten an der Angler-Aktivität auch schwedische, griechische und tschechische Sites. Dabei hatte die Blockierung der schädlichen Banner nur einen geringen Effekt: Die Cyberverbrecher tauschten sie einfach gegenandere aus oder modifizierten sie dahingehend, dass durch eine Erstüberprüfung ihr schädlicher Charakter nicht festgestellt werden konnte.

Die Experten nehmen an, dass die laufende Schadkampagne die nächste Expansionsetappe ist, vor der im Juni bereits Invincea gewarnt hatte. Gemäß den Beobachtungen dieses IT-Unternehmens umfasste die schädliche Werbekampagne im Juni eine Rekordzahl an Anwendern und benutzte ebenfalls populäre Sites zur Platzierung der Redirects und Landing-Pages. „Die Mehrzahl der Werbeanzeigen, die wir registriert haben, werden mit einem Exploit-Pack in Verbindung gebracht, das eine neue Zero-Day-Sicherheitslücke in einem Adobe-Produkt ausnutzt“, erklärte zu dem Zeitpunkt Pat Belcher, leitender Virenanalyst bei Invincea. In der Folge lud das Exploit nach Angaben von Invincea Klicker-Programme, Bots, Banker und Verschlüsselungsprogramme auf den Rechner des Opfers.

Die gesteigerte Aktivität von Angler bemerkten auch andere Experten. So stieg der Anteil des Exploit-Packs nach Einschätzungen von Sophos im Vergleich zu anderen Exploit-Sammlungen innerhalb der 9 Monate seiner Existenz im Netz von 22,8 auf 82,2%.

Quelle: PC World

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.