Werbebanner infizieren mit Exploit-Pack Magnitude

Cyberkriminelle schleusen schädlichen Redirect-Code in Werbeanzeigen ein, um die Anwender auf eine Seite mit dem Exploit-Pack Magnitude umzuleiten. Im Fall einer erfolgreichen Ausnutzung wird der Besucher mit einer neuen Variante von Erpresser-Software infiziert, die Dateien verschlüsselt.

Das Exploit-Pack Magnitude bedient sich in erster Linie der Technik Drive-by-Download, indem es Sicherheitslücken in Browser-Plug-Ins ausnutzt. Die Ergebnisse einer von den Spezialisten bei Zscaler durchgeführten Analyse haben gezeigt, dass Attacken unter Beteiligung von Magnitude mit Hilfe schädlicher Werbung durchgeführt werden. Dieses Schema ist bekannt unter der Bezeichnung Malvertising (Platzierung schädlichen Contents auf legitimen Websites mit Hilfe von harmlosen Werbeservices). Das Ergebnis ist, dass der Nutzer bei Aktivierung eines schädlichen Banners über eine Reihe von Redirects auf die Ziel-Website mit Magnitude-Exploits umgeleitet wird.

Der Einsatz von zwischengeschalteten Redirects, auch bekannt als 302 cushioning (wenn der Server den Fehler 302 ausgibt – „Die angeforderte Ressource wurde vorübergehend verschoben“, mit automatischem HTTP-Redirect), hilft Cyberkriminellen Intrusion Detection und Prevention Systeme zu umgehen. Wenn der Nutzer also auf einer Seite mit der Fehlermeldung 302 landet, wird sein Browser automatisch auf eine schädliche Ressource umgeleitet. In unserem Fall sind dort Exploits aus der Magnitude-Sammlung platziert.

Nach Angaben von Zscaler kommen in der entdeckten Schadkampagne ein Flash-Exploit und ein stark obfuskiertes JavaScript zum Einsatz, das eine Puffer-Überlauf-Schwachstelle im Internet Explorer angreift, die im Bulletin MS13-009 beschrieben und schon im Februar 2014 von Microsoft gepatcht wurde.

Nach einer erfolgreichen Magnitude-Attacke wird üblicherweise der eigentliche Ziel-Schädling geladen, in diesem Fall allerdings fügten die Kriminellen eine weitere Etappe hinzu, und zwar den Download von Shellcode. Dieser fragt mit Hilfe der Windows-Bibliothek urlmon.dll eine URL-Liste an und verwendet die erste Position in dieser Liste für den Download von CryptoWall 3.0.

„Das ist eine sehr profitable Erpresser-Software, die Bitcoin-Transaktionen und den Anonymizer Tor wirksam einsetzt, um die Attacke in bare Münze umzuwandeln“, schreiben die Experten von Zscaler, Edward Miles und Chris Mannon im Blog des Unternehmens. „Die Betreiber des Schädlings verwenden solche Technologien, da sie ihnen helfen, ihre Spuren zu verwischen. Die Opfer sind besonders angreifbar gegenüber solcher Art von Erpressung, da anscheinend nur sehr wenige Nutzer Kopien ihrer wichtigen Dateien, wie z.B. Dokument und Fotos, anfertigen.“

Wie man feststellen konnte, befindet sich die Infrastruktur des gefährlichen Verschlüsselers zum größten Teil auf deutschem Boden. Ein großer Teil der schädlichen Werbung steht in Verbindung mit der Ressource click2.systemaffiliate.com, deren Betreiber das Werbenetz SunlightMedia ist. Wie der Betreiber bestätigte, wurden die schädlichen Banner bereits isoliert und gesperrt.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.