Mobile Security, Sicher & Anonym

Malvertising-Kampagnen zur COVID-19-Krise

Mithilfe des Exploit Kits Fallout verteilen Cyberkriminelle die Windows-System-Malware KPOT v2.0 an Nutzer mit veralteten Versionen des Internet Explorers, um an deren Informationen zu gelangen.

Das Threat-Intelligence-Team von Avast hat herausgefunden, dass Cyberkriminelle die Corona-Krise für Malvertising-Kampagnen ausnutzen. Sie kaufen Werbefläche ein, um auf Websites Werbung zu schalten, die mit Schadcodes versehen ist. Dazu verwenden sie Website-Namen, die dem Anschein nach Informationen zum Coronavirus enthalten.

Eine aktuelle Malvertising-Kampagne verteilt ein Exploit Kit namens Fallout, das Schwachstellen in älteren Versionen des Internet Explorers ausnutzt – ohne dass der Anwender etwas davon merkt, geschweige denn eingreifen kann. Ziel ist es, KPOT v2.0 auf den Computern zu installieren: eine Malware, die Informationen beziehungsweise Passwörter erbeutet, auch „Stealer“ (englisch: „Dieb“) genannt. Das Exploit Kit existiert bereits seit 2018 und zielt vor allem auf japanische und südkoreanische Nutzer ab. Am 26. März 2020 registrierten die Cyberkriminellen, die hinter der Kampagne stehen, die Domain covid19onlineinfo.com. Seitdem haben sie die Domains, auf welchen das Exploit Kit gehostet wird, immer wieder gewechselt und etwa sechs verschiedene Domains pro Tag registriert, um Antivirenerkennung zu umgehen.

So funktioniert das Exploit Kit Fallout

Malvertising wird in der Regel auf Streaming-Seiten gehostet und öffnet sich automatisch in einer neuen Registerkarte, sobald der Nutzer auf die Play-Schaltfläche klickt, um ein Video anzusehen. Wenn ein Nutzer mit dem Fallout Exploit Kit eine Seite besucht, die für Malvertising instrumentalisiert wird, und eine veraltete Version des Internet Explorers nutzt, versucht das Exploit Kit Zugriff auf seinen Computer zu erlangen. Es versucht, eine Schwachstelle im Adobe Flash Player (CVE-2018-15982, Patch veröffentlicht im Januar 2019) auszunutzen, welche zur Ausführung eines beliebigen Codes führen kann, sowie zu einer Schwachstelle zur Remote-Code-Ausführung in der VBScript-Engine, die mehrere Windows-Versionen betrifft (CVE-2018-8174, Patch veröffentlicht im Mai 2018). Dies kann zum Absturz des Internet Explorers führen – das einzige Warnsignal, das den Nutzer misstrauisch machen könnte.

Das Exploit Kit hat bislang Computer mit verschiedenen Info-Stealern und Banking-Trojanern infiziert. Aktuell wird der Passwort- beziehungsweise Informations-Stealer KPOT v2.0 verteilt. Er versucht, grundlegende Informationen zu stehlen, unter anderem den Computernamen, den Windows-Benutzernamen, die IP-Adresse, die auf dem Gerät installierte Software oder die Rechner-GUID, und sendet diese Informationen an einen Command-and-Control-Server.

Anschließend stiehlt die Malware Passwörter und andere Dateien. Forscher bei Proofpoint haben die KPOT-Malware analysiert und herausgefunden, welche Befehle vom Command-and-Control-Server an die Malware gesendet werden können:

  • Cookies, Passwörter und Autofill-Daten von Chrome stehlen
  • Cookies, Passwörter und Autofill-Daten von Firefox stehlen
  • Cookies vom Internet Explorer stehlen
  • Verschiedene Krypto-Währungsdateien stehlen
  • Skype-Konten stehlen
  • Telegrammkonten stehlen
  • Discord-Konten stehlen
  • Battle.net-Konten stehlen
  • Internet-Explorer-Kennwörter stehlen
  • Steam-Konten stehlen
  • Machen Sie einen Screenshot
  • Verschiedene FTP-Client-Accounts stehlen
  • Verschiedene Windows-Anmeldeinformationen stehlen
  • Verschiedene Jabber-Kundenkonten stehlen
  • Selbst entfernen

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben