Gefälschter Sponsorenlink führt zu FAKEAV

Original Artikel von Erika Mendoza (Threat Response Engineer, Trend Micro)

Neben SEO-Angriffen haben Cyber-Kriminelle einen anderen Weg gefunden, um FAKEAV-Malware – gefälschte gesponserte Links (auf Spanisch: sitio patrocinados) – zu verteilen. Erst vor Kurzem wurden Trend Micro Forscher auf bösartige Werbung in Suchmaschinen aufmerksam gemacht, die u. a. in den Suchmaschinen Bing von Microsoft und in AltaVista auftauchte, wenn ein Benutzer nach der Zeichenfolge „malwarebytes“ (Malwarebytes ist ein kostenfreies Antiviren-Produkt, aber natürlich kein FakeAV) sucht. Durch das Klicken auf den bösartigen Link wird der Benutzer an eine ausführbare Datei mit Namen MalwareRemovalBot.exe-1 weitergeleitet (von Trend Micro als TROJ_FAKEAV.DMZ entdeckt).

Zum Vergrößern klicken


Abbildung 1: Bösartige Bannerwerbung bei Bing

Zum Vergrößern klicken

Abbildung 2: Bösartige Bannerwerbung bei AltaVista

Bei der Ausführung zeigt die bösartige Antiviren-Software irreführende Informationen über eine Infektion des Systems mit Dateien an, die es gar nicht gibt.

Zum Vergrößern klicken

Abbildung 3: Ergebnisse der gefälschten Virensuche

In der Vergangenheit setzten Cyber-Kriminelle die gleiche Taktik ein, als sie es auf Trend Micro abgesehen hatten. Einige Google-Suchergebnisse zeigten damals Bannerwerbung an, die zu einer gefälschten Trend Micro Website führte.

Obwohl die Werbung nicht in allen Regionen angezeigt wird, wird Benutzern dennoch dringend geraten, beim Klicken auf Links in Suchmaschinen besonders vorsichtig zu sein. Benutzer, die mit dem Trend Micro Smart Protection Network verbunden sind, sind vor diesem Angriff geschützt, da das Netzwerk alle bösartigen URLs entdeckt und sperrt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*