News

Werbebanner infizieren mit Exploit-Pack Magnitude

Cyberkriminelle schleusen schädlichen Redirect-Code in Werbeanzeigen ein, um die Anwender auf eine Seite mit dem Exploit-Pack Magnitude umzuleiten. Im Fall einer erfolgreichen Ausnutzung wird der Besucher mit einer neuen Variante von Erpresser-Software infiziert, die Dateien verschlüsselt.

Das Exploit-Pack Magnitude bedient sich in erster Linie der Technik Drive-by-Download, indem es Sicherheitslücken in Browser-Plug-Ins ausnutzt. Die Ergebnisse einer von den Spezialisten bei Zscaler durchgeführten Analyse haben gezeigt, dass Attacken unter Beteiligung von Magnitude mit Hilfe schädlicher Werbung durchgeführt werden. Dieses Schema ist bekannt unter der Bezeichnung Malvertising (Platzierung schädlichen Contents auf legitimen Websites mit Hilfe von harmlosen Werbeservices). Das Ergebnis ist, dass der Nutzer bei Aktivierung eines schädlichen Banners über eine Reihe von Redirects auf die Ziel-Website mit Magnitude-Exploits umgeleitet wird.

Der Einsatz von zwischengeschalteten Redirects, auch bekannt als 302 cushioning (wenn der Server den Fehler 302 ausgibt – „Die angeforderte Ressource wurde vorübergehend verschoben“, mit automatischem HTTP-Redirect), hilft Cyberkriminellen Intrusion Detection und Prevention Systeme zu umgehen. Wenn der Nutzer also auf einer Seite mit der Fehlermeldung 302 landet, wird sein Browser automatisch auf eine schädliche Ressource umgeleitet. In unserem Fall sind dort Exploits aus der Magnitude-Sammlung platziert.

Nach Angaben von Zscaler kommen in der entdeckten Schadkampagne ein Flash-Exploit und ein stark obfuskiertes JavaScript zum Einsatz, das eine Puffer-Überlauf-Schwachstelle im Internet Explorer angreift, die im Bulletin MS13-009 beschrieben und schon im Februar 2014 von Microsoft gepatcht wurde.

Nach einer erfolgreichen Magnitude-Attacke wird üblicherweise der eigentliche Ziel-Schädling geladen, in diesem Fall allerdings fügten die Kriminellen eine weitere Etappe hinzu, und zwar den Download von Shellcode. Dieser fragt mit Hilfe der Windows-Bibliothek urlmon.dll eine URL-Liste an und verwendet die erste Position in dieser Liste für den Download von CryptoWall 3.0.

„Das ist eine sehr profitable Erpresser-Software, die Bitcoin-Transaktionen und den Anonymizer Tor wirksam einsetzt, um die Attacke in bare Münze umzuwandeln“, schreiben die Experten von Zscaler, Edward Miles und Chris Mannon im Blog des Unternehmens. „Die Betreiber des Schädlings verwenden solche Technologien, da sie ihnen helfen, ihre Spuren zu verwischen. Die Opfer sind besonders angreifbar gegenüber solcher Art von Erpressung, da anscheinend nur sehr wenige Nutzer Kopien ihrer wichtigen Dateien, wie z.B. Dokument und Fotos, anfertigen.“

Wie man feststellen konnte, befindet sich die Infrastruktur des gefährlichen Verschlüsselers zum größten Teil auf deutschem Boden. Ein großer Teil der schädlichen Werbung steht in Verbindung mit der Ressource click2.systemaffiliate.com, deren Betreiber das Werbenetz SunlightMedia ist. Wie der Betreiber bestätigte, wurden die schädlichen Banner bereits isoliert und gesperrt.

Quelle: Threatpost

Werbebanner infizieren mit Exploit-Pack Magnitude

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach