Anzeige

Neue Form von Malware-Attacken

Das ist neu: Cyberkriminelle nutzen die Corona-Krise für Malvertising-Kampagnen. Laut Analysen von Avast kaufen Werbefläche von Ad-Netzwerken ein, um auf Websites Werbung zu schalten, die mit Schadcodes versehen ist. Dazu verwenden sie Website-Namen, die dem Anschein nach Informationen zum Coronavirus enthalten, um die Betreiber der Ad-Netzwerke zu täuschen. 

Eine aktuelle Malvertising-Kampagne verteilt ein Exploit Kit namens Fallout, das Schwachstellen in älteren Versionen des Internet Explorers ausnutzt – ohne dass der Anwender etwas davon merkt, geschweige denn eingreifen kann. Ziel ist es, KPOT v2.0 auf den Computern zu installieren: eine Malware, die Informationen beziehungsweise Passwörter erbeutet, auch „Stealer“ (englisch: „Dieb“) genannt. Das Exploit Kit existiert bereits seit 2018 und zielt vor allem auf japanische und südkoreanische Nutzer ab. Am 26. März 2020 registrierten die Cyberkriminellen, die hinter der Kampagne stehen, die Domain covid19onlineinfo.com. Seitdem haben sie die Domains, auf welchen das Exploit Kit gehostet wird, immer wieder gewechselt und etwa sechs verschiedene Domains pro Tag registriert, um Antivirenerkennung zu umgehen.

So funktioniert das Exploit Kit Fallout

Malvertising wird in der Regel auf Streaming-Seiten gehostet und öffnet sich automatisch in einer neuen Registerkarte, sobald der Nutzer auf die Play-Schaltfläche klickt, um ein Video anzusehen. Wenn ein Nutzer mit dem Fallout Exploit Kit eine Seite besucht, die für Malvertising instrumentalisiert wird, und eine veraltete Version des Internet Explorers nutzt, versucht das Exploit Kit Zugriff auf seinen Computer zu erlangen. Es versucht, eine Schwachstelle im Adobe Flash Player (CVE-2018-15982, Patch veröffentlicht im Januar 2019) auszunutzen, welche zur Ausführung eines beliebigen Codes führen kann, sowie zu einer Schwachstelle zur Remote-Code-Ausführung in der VBScript-Engine, die mehrere Windows-Versionen betrifft (CVE-2018-8174, Patch veröffentlicht im Mai 2018). Dies kann zum Absturz des Internet Explorers führen – das einzige Warnsignal, das den Nutzer misstrauisch machen könnte.

Das Exploit Kit hat bislang Computer mit verschiedenen Info-Stealern und Banking-Trojanern infiziert. Aktuell wird der Passwort- beziehungsweise Informations-Stealer KPOT v2.0 verteilt. Er versucht, grundlegende Informationen zu stehlen, unter anderem den Computernamen, den Windows-Benutzernamen, die IP-Adresse, die auf dem Gerät installierte Software oder die Rechner-GUID, und sendet diese Informationen an einen Command-and-Control-Server.

Anschließend stiehlt die Malware Passwörter und andere Dateien. Forscher bei Proofpoint haben die KPOT-Malware analysiert und herausgefunden, welche Befehle vom Command-and-Control-Server an die Malware gesendet werden können:

  • Cookies, Passwörter und Autofill-Daten von Chrome stehlen
  • Cookies, Passwörter und Autofill-Daten von Firefox stehlen
  • Cookies vom Internet Explorer stehlen
  • Verschiedene Krypto-Währungsdateien stehlen
  • Skype-Konten stehlen
  • Telegrammkonten stehlen
  • Discord-Konten stehlen
  • Battle.net-Konten stehlen
  • Internet-Explorer-Kennwörter stehlen
  • Steam-Konten stehlen
  • Machen Sie einen Screenshot
  • Verschiedene FTP-Client-Accounts stehlen
  • Verschiedene Windows-Anmeldeinformationen stehlen
  • Verschiedene Jabber-Kundenkonten stehlen
  • Selbst entfernen

Deutschland zählt zu den Top-Zielländern

Bis zum 14. April 2020 verhinderte Avast 178.814 Angriffsversuche, die auf 96.278 Anwender weltweit abzielten. Zu den Top-Zielländern zählen Kanada, USA, Japan, Spanien, Italien, Australien, Brasilien, Frankreich, Türkei und Deutschland – Kanada an der Spitze mit 37.342 abgewehrten Angriffsversuchen bei 12.496 Nutzern und Deutschland an zehnter Stelle mit 3.331 abgewehrten Angriffsversuchen bei 2.452 Nutzern.

Vier Tipps, wie sich Anwender schützen können:

  • Installieren Sie eine Antiviren-Software, die Angriffe wie diesen erkennt und verhindert.
  • Halten Sie Software, Browser und Betriebssysteme immer auf dem neuesten Stand. Updates sind wichtig, da sie nicht nur neue Funktionen liefern, sondern auch Sicherheits-Patches zur Behebung von Schwachstellen enthalten.
  • Deaktivieren Sie Flash, es sei denn, es wird benötigt. Flash wird nicht mehr von vielen Websites verwendet, allerdings missbrauchen Cyberkriminelle nach wie vor Flash-Schwachstellen. 
  • Aktivieren Sie die neuen Passwortschutz-Funktion von Avast, die bei Avast Premium unter „Privatsphäre“ zu finden ist. Der Passwortschutz von Avast warnt den Nutzer, wenn ein Programm versucht, auf Passwörter zuzugreifen, die in Chrome oder Firefox gespeichert sind.

https://www.avast.com/de-de/index#mac 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Dokumente

Schneller Weg ins papierlose Office

Das Monatsende rückt näher. Zeit für die Gehaltsabrechnungen der Mitarbeiter. Doch Moment – das gesamte Team arbeitet ja aktuell von zu Hause aus. Und jetzt?
FIN7

Die Festnahme des FIN7-Hackers Denys Iarmak

Die amerikanischen Behörden haben kürzlich ein weiteres Mitglied der Hackergruppe FIN7 festgenommen, die Schäden im Wert von insgesamt über einer Milliarde US-Dollar verursacht haben soll.
Handschlag

WatchGuard schließt Übernahme von Panda Security ab

WatchGuard Technologies mit Sitz in Seattle, USA, hat die im März bekanntgegebene Übernahme von Panda Security abgeschlossen. Panda gehört nun als hundertprozentige Tochtergesellschaft zu WatchGuard.
Cookies

Droht durch das Cookie-Urteil des BGH ein „Digitaler Lockdown“?

Der Bundesgerichtshof (BGH) hat sein Urteil im Fall Bundesverband der Verbraucherzentralen gegen die Planet49 GmbH gesprochen. Demnach reicht eine bereits vorangekreuzte Checkbox nicht aus, um den Anforderungen an eine Einwilligung beim Setzen von Cookies zu…
Corona App

Bundesregierung sieht keine Notwendigkeit für Gesetz zur Corona-App

Die Bundesregierung will die Einführung der geplanten Corona-Warn-App des Bundes nicht durch ein spezielles Gesetz begleiten. Das geht aus einer Antwort auf eine parlamentarische Anfrage der Grünen hervor, über die der Spiegel am Freitag berichtete.
Coronavirus

Spioniert die kommende Corona-Warn-App heimlich Bürger aus?

Besitzer eines Smartphones von Apple oder mit dem Betriebssystem Android bekommen beim Aktualisieren der System-Software Hinweise darauf, dass Apple und Google die Funktion von offiziellen Corona-Warn-Apps möglich machen wollen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!