FAKEAV nutzt verstärkt Java-Sicherheitslücken und verfeinerte gefälschte Alerts

Originalartikel von Norman Ingal (Threat Response Engineer bei Trend Micro)

In letzter Zeit sind Angriffe auf Java-Sicherheitslücken wieder stärker in den Mittelpunkt der Aufmerksamkeit gerückt. Letzte Woche beschrieb der Sicherheits-Blogger Brian Krebs, wie Exploit-Pakete Java nutzen. Auch zitierte er Microsoft, die vor einer „noch nie da gewesenen Welle“ der Java-Exploits gewarnt hatten.

Die Security Researcher von Trend Micro bestätigen ebenfalls die steigende Nutzung von so genannten FAKEAV Brückenseiten, die Java-Lücken ausnutzen. Diese Technik setzt Blackhat Engine Optimizaton (SEO) ein, um infizierte Seiten als “Türöffner” (Doorways) für die Verteilung von FAKEAV zu benutzen. Wo diese Schwachstellen nicht ausgenutzt werden können, werden PDF-Exploits stattdessen herangezogen. Trend Micro hat besagte PDF- und Java-Exploits als TROJ_PIDIEF.HLL beziehungsweise JAVA_LOADER.HLL identifizieren können.
Analysen der mit FAKEAV in Verbindung stehenden Brückenseiten zeigen, dass die bösartigen URLs, welche die Payloads hosten (Java- und PDF-Exploits) entweder das Seo Sploit Pack oder das Phoenix Exploit Pack nutzen. Außerdem wird die tatsächliche Payload nicht in den Brückenseiten gehostet. Die am Ende stehende URL ist das Ergebnis einer Reihe von Weiterleitungen, die von den Brückenseiten ausgehen. Diese Weiterleitungen ändern sich regelmäßig und bestimmen, wo sich die nächste Payload-URL befindet.



Zwei Sicherheitslücken werden auf diese Weise besonders häufig missbraucht:

Doch dies ist nicht die einzige Art, wie FAKEAV neuerdings in Erscheinung tritt. Browser-spezifische Payloads und Seiten sind nicht neu, doch werden diese Seiten immer mehr „aufgemöbelt“. Die Abbildungen zeigen zwei Beispiele dieser Art von Seiten – eine für den Internet Explorer und eine weitere für Firefox:





Beide Seiten ahmen die tatsächliche Schnittstelle der beiden Browser perfekt nach. Im Fall von Firefox ist nicht nur das Site-Design perfekt sondern auch die Browser-Version für ein bestimmtes System ist richtig. Damit werden Nutzer noch einfacher in die Irre geführt.

Die gefälschten Viren-Alerts selbst sind auf zwei Arten weiter entwickelt worden. Online-FAKEAV-Varianten verstecken ihren Code sehr gut und nutzen AES, um ihn zu verschlüsseln. Lokale FAKEAV-Varianten wiederum setzen auf Audio-Warnungen als Teil ihrer Verhaltensweise. Die Hauptschnittstelle hat sich nicht wirklich geändert, aber es gibt einen neuen Icon für die „Pille“.



Alle diese Entwicklungen deuten darauf hin, dass die Kriminellen hinter der gefälschten Antivirus-Software ihre Techniken weiter entwickeln, auch wenn sie nicht im Scheinwerferlicht stehen. Die Anwender der Trend Micro-Produkte sind über das Smart Protection Network vor diesen Gefahren geschützt, denn die Sicherheitsinfrastruktur erkennt mithilfe der Reputationsdienste die bösartigen Sites und Dateien, bevor diese das System des Nutzers erreichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*