ALPS blog

Analyse: Websites verbreiten Malware und Adware

Originalbeitrag von Jaromir Horejsi, Joseph C Chen

Wir haben eine Reihe von Websites mit unsicherer Software untersucht, die eine Infektionskette mit mehreren Schädlingen und Adware starten, darunter CopperStealer und LNKR Adware. Die bösartigen Dateien werden normalerweise über Pay-per-Install (PPI)-Netzwerke verbreitet. Unsere Analyse ergab, dass die gefundenen CopperStealer-Samples infizierte Systeme auf bestimmte Browser-Anmeldedaten und Cookies scannen können. Zudem brechen sie die gesamte Routine ab, wenn die Einstellungen der Systeme auf Chinesisch sind, die Dateien in der Sandbox ausgeführt oder in einem Debugger analysiert werden. Zusätzlich sind die Schädlinge in der Lage, bösartige Browser-Erweiterungen zu installieren und gespeicherte Facebook- und Google-Anmeldedaten für bösartige Werbung zu stehlen.

Bild. Infektionsvektor

Diese Infektionen, deren Einsatz eine gängige Technik unter Cyberkriminellen ist, wurden von den Opfern unwissentlich initiiert, als sie warez-Websites (auch bekannt als Crackz, Toolz, Appz und Gamez) besuchten, die Benutzer immer wieder auf eine andere Website mit Malware-Verteilung umleiten. Einige enthalten Links zu den angeforderten Dateien und verwenden meist eine sehr kleine Schrift. Daher werden sie leicht übersehen. Ausserdem gibt es irreführende „Download“-Buttons oder ähnliche Handlungsaufforderungen. Wenn ein Benutzer eine dieser Schaltflächen auswählt, setzt er unwissentlich eine Umleitungskette in Gang, die zum Download von Malware führt. Interessierte finden die technischen Details zum Ablauf der Angriffe im Originalbeitrag.

Fazit

Aus Sicht der Cyberkriminellen ist die Verbreitung von raubkopierter und nicht gesicherter Software von Vorteil, denn sie stellt ein probates Mittel zur Verbreitung von Schadsoftware dar. Der Stealer weist interessante Fähigkeiten auf, wenn man bedenkt, dass sein Hauptziel darin besteht, verschiedene Cookies zu beschaffen und die Kontrolle über Werbekonten zu übernehmen. Dies gibt dem Bedrohungsakteur die Möglichkeit, Werbung zu verbreiten, die seine Malware und Adware zu mehr potenziellen Opfern bringt. Außerdem wirbt er für andere „Produkte“ der Cyberkriminellen. Schliesslich erhalten sie durch gestohlene Cookies von Browsern sensible persönliche Informationen, die sie weiter illegal zu Geld machen können.

Die intensive Nutzung von Browser-Plug-ins ermöglicht es Bedrohungsakteuren, Werbung einzuschleusen und das Verhalten von Websites zu verändern. Da sie legitime Werbe-IDs durch ihre eigenen ersetzen, lenken sie die Erträge für Klicks, Anzeigenaufrufe, Suchvorgänge und Downloads um.

Empfehlungen

Es gibt einige Best Practices, die dazu beitragen, diese Art von Bedrohung zu verhindern:

  • Vermeiden Sie die Suche nach oder das Herunterladen von Anwendungen und raubkopierter Software über dubiose Websites Dritter. Suchen Sie nach legitimen Tools und Programmen in offiziellen App-Stores, insbesondere in solchen mit vielen von Benutzern erstellten Bewertungen.
  • Vermeiden Sie es nach Möglichkeit, sensible Informationen wie Bank- oder Zugangsdaten in Browsern oder Plattformen zum automatischen Ausfüllen von Formularen zu speichern. Löschen Sie, wann immer möglich, regelmässig den Browser-Cache von Rechnern, die Sie häufig nutzen.

Trend Micro-Lösungen

Nutzer können ihre Systeme gegen diese Arten von Bedrohungen über mehrschichtige Schutzsysteme sichern, um bekannte und unbekannte Bedrohungen zu blockieren beziehungsweise zu erkennen.

Der Originalbeitrag beinhaltet auch eine Liste der Indicators of Compromise (IoCs).

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Ähnliche News