Malware über Ask.com Toolbar verteilt
Ask.com ist ein Internetportal, das ursprünglich als Suchmaschine funktionierte, inzwischen aber nur noch Antworten aus einem festen Frage-Antwort-Reservoir generiert. Nun haben Sicherheitsforscher von Carbon Black entdeckt, dass das Computersystem des Internetportals Ask Partner Network (APN) kompromittiert wurde und dabei erfolgreich der Update-Prozess der Ask.com Toolbar manipuliert wurde, wie heise.de dazu vermeldete. Ziel der Attacke war offensichtlich die Verteilung von Malware an Windows-Nutzer.
Das Zeitfenster der Attacke war Ende des vergangenen Jahres bis Anfang dieses Jahres. Die Betreiber des Internetportals haben sofort nach Entdeckung des Vorfalls Gegenmaßnahmen ergriffen und das Netzwerk abgesichert. Wie es heißt sollen die unbekannten Angreifer aber immer noch Zugang haben.
Tarnung als legitimes Update
Laut Carbon Black Erkenntnissen ist nicht klar wie die Einbrüche im Detail stattgefunden haben. Als sicher gilt, dass die Hacker den Update-Prozess von den APN-Servern umgeleitet haben, um den Download ihres Trojaners anzustoßen. Diesen hatten sie mit einem APN-Zertifikat signiert, um ihn so als legitimes Update verteilen zu können. Laut APN wurde das Zertifikat widerrufen und eine neues ausgestellt, was jedoch wiederum von den Angreifern missbraucht worden ist.
Es soll ein Trojaner zum Einsatz gekommen sein, der eine Backdoor installierte, die den Weg bereitete, um weitere Malware zu installieren und sensible Daten wie Zugangsdaten von Online-Konten zu kopieren. Problem dabei ist, dass die Ask.com Toolbar mit Systemrechten läuft, warnt Carbon Black.
Weiterführende Links:
heise.de: Malware-Verteilung: Hacker infiltrierten Update-Prozess der Ask.com-Toolbar