Schadcode in Werbeanzeigen

Proofpoint entdeckte Schadcode in Werbeanzeigen auf vertrauenswürdigen Websites. Die Erpresser – Malware Cryptowall gelangte dabei offensichtlich über Adobe Flash Player auf den Rechner, informierte itespresso.de. Es waren Besucher von Websites wie Yahoo oder AOL, die kompromittiert wurden.
Die Angreifer stahlen dabei Daten und verlangten Lösegeld. Proofpoint geht davon aus, dass von dem Angriff potenziell rund drei Millionen Besucher pro Tag betroffen waren. Laut Proofpoint wird Schadcode in legitime Werbebanner auf eigentlich vertrauenswürdigen Websites eingebettet. Sichtbare Hinweise auf eine Kompromittierung sind nicht vorhanden. Allein durch den Besuch der infiltrierten Seite können Nutzer ihren Rechner jedoch per Drive-by-Download mit dem Schädling infizieren. Bei dem aktuell in die Werbenetzwerke integrierten Schädling handelt es sich laut Proofpoint um die Ransomware Cryptowall, die ursprünglich als eine Abart der Erpresser-Malware Cryptolocker galt. Inzwischen hat sie sich aufgrund der Abschaltung des durch Cryptolocker genutzten Command-and-Control-Netzwerks sowie der Zerschlagung des Botnetzes “Gameover Zeus” im Juni verselbständigt.
Der in die Werbebanner eingebundene Schadcode nutzt eine Sicherheitslücke im Adobe Flash Player, um heimlich sogenannte Flashpack-Exploits auszuführen. Diese bemächtigen sich wiederum einer Schwachstelle im Browser, um Cryptowall auf dem Rechner des Opfers zu installieren. Dort angekommen, verschlüsselt die Erpresser-Software die Festplatte des Nutzers und gibt den Zugang zu dem für die Entschlüsselung benötigten Private Key erst wieder nach einer über das Internet getätigten Gebührenzahlung frei.
Ein für solche Ransomware typisches Verhalten ist auch das Setzen einer Frist, bis zu der das Lösegeld gezahlt sein muss: Die Erpresser drohen damit, nach Ablauf dieser Frist die Festplatte mit all ihren Informationen dauerhaft zu chiffrieren. Erste Instanzen dieser Malvertising-Aktivitäten hatte Proofpoint bereits Ende September registriert. Die Zahl solcher Kampagnen nahm laut dem Unternehmen allerdings in den vergangenen Tagen signifikant zu.
Nutzern empfiehlt Proofpoint, ihr System durch die Installation der neuesten Patches und Updates abzusichern. Dabei sollten laut dem Sicherheitsanbieter nicht nur Betriebssystem und Browser auf dem aktuellen Stand sein, sondern auch andere potenziell anfällige Software und Plug-ins stets ein Update erhalten. Zu diesem Kreis an Programmen zählt Proofpoint unter anderem Microsoft Office, Adobe Reader und Adobe Flash Player sowie Oracle Java. Überdies sollten Nutzer ihren Browser so konfigurieren, dass Plug-ins nicht automatisch ausgeführt werden.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben