Nötigung zum Update
Wie Betroffene dazu berichten, drängen die Malvertising-Inserate zu einem dringenden Update für Adobe Flash Player – aber ein unvorsichtiger Klick löst stattdessen tatsächlich einen mehrstufigen Angriff aus, wie zdnet.de informiert. Auf Anfrage wollte Microsoft dazu keine Stellungnahme abgeben, wie es weiter dazu heißt.
Auf Reddit berichteten betroffene Nutzer über die Ausführung eines Angriffs. Per Screenshot wurde dabei belegt, wie eine derartige Anzeige zur Ausführung einer Datei namens „FlashPlayer.hta“ aufforderte. Weitere Beschwerden soll es von Nutzern gegeben haben, die in Skypes In-App-Inseraten gleichfalls eine angebliche Flash-Update Aufforderung entdeckten.
Die Experten-Analyse
Experten haben auf Veranlassung von zdnet.com die Funktionsweise näher analysiert. Dabei wurde deutlich, dass das gefälschte Flash-Inserat für Windows-Rechner konzipiert war. Es stieß einen Download an, dessen Ausführung ein verschleiertes JavaScript auslösen sollte. Der Code sollte dann die vom Nutzer eben geöffnete Anwendung löschen und einen PowerShell-Befehl ausführen, um ein JavaScript Encoded Script (JSE) herunterzuladen.
Laut den Sicherheitsexperten ging man weiterhin davon aus, dass die aufeinanderfolgenden Schritte offenbar dazu dienten, die Erkennung durch Antivirus-Malware zu vermeiden.
Ali-Reza Anghaie von der Sicherheitsfirma Phobos Group, kommentierte:
„Das ist das, was man allgemein einen zweistufigen Dropper nennt“
„Es ist praktisch eine Hilfskomponente der Malware, die dann über das weitere Vorgehen entscheidet – abhängig vom Befehls- und Kontrollserver, mit dem sie sich verbindet.“
Letztlich rechnete Anghaie damit, dass in 99 Prozent aller Fälle mit Ransomware zu rechnen sei, die den Computer verschlüsselt und anschließend den Nutzer erpresst. Er vermutet den Einsatz des Exploitkit Angler, das bereits bei Malvertising-Kampagnen beobachtet wurde.
Experten-Fazit:
Wie die Experten feststellten stehen hinter der Fake-Werbung offenbar Angreifer, die laufend die Domains wechseln, um ihre Spuren zu verwischen. In diesem Zusammenhang stellte auch BleepingComputer bei zwei verwendeten Domains fest, dass sie über E-Mail-Adressen registriert wurden, die schon zur Registrierung zahlreicher anderer dubioser Domains verwendet wurden, die im Zusammenhang mit Malware auffielen.
Weitere Beispiele aus der Vergangenheit machen deutlich, dass Skype immer wieder durch Verbreitung von Malvertising auffällt, darunter mit bösartigen Inseraten, die mit dem eingesetzten Exploitkit Angler schließlich Ransomware im Gepäck hatten.
