Bösartige Werbeeinblendungen führen zu Malware

Originalartikel von Ria Rivera (Technical Communications bei Trend Micro)

Die Forscher von TrendLabs warnen vor so genannten Malvertisments. Auf den ersten Blick scheinen die Werbeeinblendungen eine der üblichen Belästigungen beim Browsen zu sein. Doch haben die Sicherheitsforscher festgestellt, dass einige der Anzeigen Vektoren für den Download von Malware auf das System des Nutzers darstellen. Beispielsweise zeigte eine Anzeige auf eine URL, die einen Exploit enthielt, der eine Reihe von Dateien auf das betroffene System herunter lud und dort ausführte. Diese Dateien wiederum enthielten eine bösartige Java-Datei, die Trend Micro als JS_BYTEVER.BG identifiziert hat, und PDF-Dateien , die als TROJ_PIDIEF.GBA sowie TROJ_PIDIEF.GBB erkannt wurden. Dem Sicherheitsforscher Jonell Baltazar zufolge nutzen diese PDF-Dateien bekannte Schwachstellen im Adobe Reader (Collab.collectEmailInfo, Collab.getIcon, and util.printf) aus, um eine Datei herunter zu laden, wenn die Anwendung des Nutzers nicht auf aktuellem Stand ist. Darüber hinaus erklärt Baltazar, dass die bösartigen PDF-Dateien neben Adobe JavaScript-APIs auch das app.info.Author-Feld des PDF-Dokuments dazu nutzen, um die codierte Payload-URL zu speichern. Damit können die Kriminellen dahinter die automatisierten PDF- und JavaScript-Analysewerkzeuge ausbremsen.


Raimund Genes, CTO von Trend Micro, hat bereits in den „2010 Threat Predictions“ aufgezeigt, dass Drive-by-Infektionen die Norm werden. Er warnt davor, dass schon ein Besuch einer Website ausreicht, um sich dabei zu infizieren. Daher sollten User JavaScript in ihren Browsern deaktivieren, URLs verifizieren und ihre Browser immer auf aktuellem Sicherheitsstand halten. Diese relativ neue Verschlüsselungstechnik versteckt das bösartige Script, sodass es bestimmter APIs bedarf, um sie zu entschlüsseln. Daher erfordert es eine manuelle Analyse, um das eingebettete Script zu emulieren.

Trend Micros Smart Protection Network schützt die Nutzer vor dieser Gefahr, denn das Content-Sicherheitsnetzwerk entdeckt mittels der File Reputation Services die bösartigen Dateien und verhindert deren Ausführung. Außerdem blockiert es den Zugriff der Nutzer auf bösartige Websites. Anwender, die kein Trend Micro Produkt im Einsatz haben, können das kostenlose Web Protection Add-On herunter laden, das ebenfalls den Zugang zu potenziell bösartigen Websites verhindert.

2 Gedanken zu „Bösartige Werbeeinblendungen führen zu Malware

  1. trendadmin

    Hallo Herr Schlede, Sie haben Recht. Die Bilder sind nun etwas größer und verlinkt mit dem Originalbild. 🙂

  2. Micha_Schlede

    Ganz interessant — es wäre Klasse, wenn man „infection chain“ auch sehen könnte — der Screenshot ist klein, dass selbst nach dem Draufklicken meine Lesebrille nicht mehr hilft — schade!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*