Anzeige

Neue Form von Malware-Attacken

Das ist neu: Cyberkriminelle nutzen die Corona-Krise für Malvertising-Kampagnen. Laut Analysen von Avast kaufen Werbefläche von Ad-Netzwerken ein, um auf Websites Werbung zu schalten, die mit Schadcodes versehen ist. Dazu verwenden sie Website-Namen, die dem Anschein nach Informationen zum Coronavirus enthalten, um die Betreiber der Ad-Netzwerke zu täuschen. 

Eine aktuelle Malvertising-Kampagne verteilt ein Exploit Kit namens Fallout, das Schwachstellen in älteren Versionen des Internet Explorers ausnutzt – ohne dass der Anwender etwas davon merkt, geschweige denn eingreifen kann. Ziel ist es, KPOT v2.0 auf den Computern zu installieren: eine Malware, die Informationen beziehungsweise Passwörter erbeutet, auch „Stealer“ (englisch: „Dieb“) genannt. Das Exploit Kit existiert bereits seit 2018 und zielt vor allem auf japanische und südkoreanische Nutzer ab. Am 26. März 2020 registrierten die Cyberkriminellen, die hinter der Kampagne stehen, die Domain covid19onlineinfo.com. Seitdem haben sie die Domains, auf welchen das Exploit Kit gehostet wird, immer wieder gewechselt und etwa sechs verschiedene Domains pro Tag registriert, um Antivirenerkennung zu umgehen.

So funktioniert das Exploit Kit Fallout

Malvertising wird in der Regel auf Streaming-Seiten gehostet und öffnet sich automatisch in einer neuen Registerkarte, sobald der Nutzer auf die Play-Schaltfläche klickt, um ein Video anzusehen. Wenn ein Nutzer mit dem Fallout Exploit Kit eine Seite besucht, die für Malvertising instrumentalisiert wird, und eine veraltete Version des Internet Explorers nutzt, versucht das Exploit Kit Zugriff auf seinen Computer zu erlangen. Es versucht, eine Schwachstelle im Adobe Flash Player (CVE-2018-15982, Patch veröffentlicht im Januar 2019) auszunutzen, welche zur Ausführung eines beliebigen Codes führen kann, sowie zu einer Schwachstelle zur Remote-Code-Ausführung in der VBScript-Engine, die mehrere Windows-Versionen betrifft (CVE-2018-8174, Patch veröffentlicht im Mai 2018). Dies kann zum Absturz des Internet Explorers führen – das einzige Warnsignal, das den Nutzer misstrauisch machen könnte.

Das Exploit Kit hat bislang Computer mit verschiedenen Info-Stealern und Banking-Trojanern infiziert. Aktuell wird der Passwort- beziehungsweise Informations-Stealer KPOT v2.0 verteilt. Er versucht, grundlegende Informationen zu stehlen, unter anderem den Computernamen, den Windows-Benutzernamen, die IP-Adresse, die auf dem Gerät installierte Software oder die Rechner-GUID, und sendet diese Informationen an einen Command-and-Control-Server.

Anschließend stiehlt die Malware Passwörter und andere Dateien. Forscher bei Proofpoint haben die KPOT-Malware analysiert und herausgefunden, welche Befehle vom Command-and-Control-Server an die Malware gesendet werden können:

  • Cookies, Passwörter und Autofill-Daten von Chrome stehlen
  • Cookies, Passwörter und Autofill-Daten von Firefox stehlen
  • Cookies vom Internet Explorer stehlen
  • Verschiedene Krypto-Währungsdateien stehlen
  • Skype-Konten stehlen
  • Telegrammkonten stehlen
  • Discord-Konten stehlen
  • Battle.net-Konten stehlen
  • Internet-Explorer-Kennwörter stehlen
  • Steam-Konten stehlen
  • Machen Sie einen Screenshot
  • Verschiedene FTP-Client-Accounts stehlen
  • Verschiedene Windows-Anmeldeinformationen stehlen
  • Verschiedene Jabber-Kundenkonten stehlen
  • Selbst entfernen

Deutschland zählt zu den Top-Zielländern

Bis zum 14. April 2020 verhinderte Avast 178.814 Angriffsversuche, die auf 96.278 Anwender weltweit abzielten. Zu den Top-Zielländern zählen Kanada, USA, Japan, Spanien, Italien, Australien, Brasilien, Frankreich, Türkei und Deutschland – Kanada an der Spitze mit 37.342 abgewehrten Angriffsversuchen bei 12.496 Nutzern und Deutschland an zehnter Stelle mit 3.331 abgewehrten Angriffsversuchen bei 2.452 Nutzern.

Vier Tipps, wie sich Anwender schützen können:

  • Installieren Sie eine Antiviren-Software, die Angriffe wie diesen erkennt und verhindert.
  • Halten Sie Software, Browser und Betriebssysteme immer auf dem neuesten Stand. Updates sind wichtig, da sie nicht nur neue Funktionen liefern, sondern auch Sicherheits-Patches zur Behebung von Schwachstellen enthalten.
  • Deaktivieren Sie Flash, es sei denn, es wird benötigt. Flash wird nicht mehr von vielen Websites verwendet, allerdings missbrauchen Cyberkriminelle nach wie vor Flash-Schwachstellen. 
  • Aktivieren Sie die neuen Passwortschutz-Funktion von Avast, die bei Avast Premium unter „Privatsphäre“ zu finden ist. Der Passwortschutz von Avast warnt den Nutzer, wenn ein Programm versucht, auf Passwörter zuzugreifen, die in Chrome oder Firefox gespeichert sind.

https://www.avast.com/de-de/index#mac 


Weitere Artikel

Cyberattack

Schul-Cloud des HPI durch Cyberangriffe lahmgelegt

Die Lernplattform Schul-Cloud des Hasso-Plattner-Institus (HPI) ist mit Cyberangriffen lahmgelegt worden.
Hacker

Die Schweizerische Post startet öffentliches Bug-Bounty-Programm mit YesWeHack

YesWeHack, Europas Crowdsourced-Security-Plattform, verkündet den Start eines öffentlichen Bug-Bounty-Programms für die Schweizerische Post.
B2B

Wie lassen sich B2B-Webshops an ERP-Systeme anbinden?

Der E-Commerce ist im B2B-Bereich nicht mehr wegzudenken, hat er doch gerade im letzten Jahr, durch den Corona-bedingten Digitalisierungsschub, enormen Aufschwung erfahren.
Security Lock

Bundeswirtschaftsministerium: TISiM stärkt sichere Digitalisierung in Mittelstand und Handwerk

TISiM – die Transferstelle IT-Sicherheit im Mittelstand gibt nach erfolgreicher Pilot-Phase, den Launch des Sec-O-Mats bekannt. Das Tool bündelt Handlungsempfehlungen aus einem breiten Spektrum an bestehenden Initiativen und Angeboten für kleine und mittlere…
Google Earth

Google Earth-Update - Timelapse zeigt Umweltveränderungen

Seit nunmehr als 15 Jahren können Nutzerinnen und Nutzer mit Google Earth auf virtuelle Weltreisen gehen und unseren Planeten aus unzähligen Perspektiven betrachten.
Amazon Prime

Amazon Prime knackt 200 Millionen Marke

Amazon hat die Marke von 200 Millionen Kunden in seinem Abo-Dienst Prime geknackt.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.