Sicher & Anonym

Werbebanner verteilten Stegano Exploit Kit

09.12.2016

Es waren Leser populärer Nachrichten-Webseiten, die Opfer von Malvertising wurden. Mittels des Stegano Exploit Kit wurden verschiedene Schwachstellen in Flash und dem Internet Explorer ausgenutzt. Seit Oktober dieses Jahres sind die schädlichen Anwendungen unterwegs. Sie werden unbemerkt und ohne Mithilfe vom Nutzer selbständig aktiv.

ESET entdeckte Malvertising –Kampagne

Wie ESET herausfand versteckten sich die infizierten Werbeanzeigen im Programm Browser Defence und dem Screenshot-Tool Broxu. Wie es heißt wird die Malware im RGB Alpha-Channel der Werbeanzeigen ausgeliefert und damit optisch kaum erkennbar.

Basis für den Exploit ist, dass eine in Flash eine Lücke ausgenutzt werden kann, daneben bildet die Sicherheitslücke CVE-2016-0162 im Internet Explorer eine Angriffsmöglichkeit. Der Schadcode selbst ist im Bild versteckt und wird über den modifizierten Besucherzähler Countly ausgeführt.

Bild: Diese Banner wurden auf einer Remote-Domain mit der URL hxxps: //browser-defence.com und hxxps: //broxu.com gespeichert, Bildquelle: welivesecurity.com

Populäre Nachrichtenseiten als Malware-Verteiler

Wie ESET feststellte wurden insbesondere Leser populärer Nachrichtenseiten, die aber nicht explizit benannt wurden, mit dem Stegano-Exploit-Kit konfrontiert. Die Ausnutzung von Schwachstellen gelang allerdings nur, wenn keine Abwehrtechniken für Infektionen erkannt wurden.

Laut Malwarebytes sollen sich die Angriffsschwerpunkte in Großbritannien, Kanada, Australien, Spanien und der Schweiz befinden. Nicht betroffen sei die USA.

Infektion mit Ursnif und Ramnit

Es sind die Malware-Familien Ursnif und Ramnit, die durch Stegano verbreitet werden. Dabei werden durch Ursnif vor allem Zugangsdaten ausgespäht und Dateien kopiert. Ramnit fertigt Screenshots, extrahiert Dateien und führt Dateien aus.