Malvertising-Kampagne führt zu Angler Exploit Kit/BEDEP

Originalbeitrag von Joseph C Chen, Fraud Researcher

Derzeit plagt US-Nutzer eine Malvertising-Kampagne, die in Zusammenhang mit dem Angler Exploit Kit steht. Möglicherweise wurden allein in den letzten 48 Stunden bereits Zehntausende zum Ziel der Angreifer. Das Monitoring von Trend Micros Sicherheitsforscher ergab, dass ein kompromittiertes Werbenetzwerk die verseuchte Werbung an verschiedene stark frequentierte Websites mit Inhalten wie Nachrichten, Unterhaltung oder politische Kommentar-Sites liefert. Mittlerweile ist die verseuchte Werbung von den bekanntesten Portalen entfernt worden, doch geht die Malvertising-Kampagne weiter, und damit besteht immer noch die Gefahr für die Nutzer, Schadsoftware auf ihre Systeme herunterzuladen.
Bemerkenswerterweise wurde Berichten zufolge das Angler Exploit Kit gerade aktualisiert, um neue Schwachstellen ausnutzen zu können. Das lässt darauf schließen, dass die Autoren eine aggressivere Strategie fahren, um weiter ihren Wettbewerb ausstechen zu können. Angler war 2015 das dominante Exploit Kit.

Seit dem 7. März lässt sich in den USA ein Anstieg der Angler-Aktivitäten feststellen. Ein paar Tage später erreichten die Aktivitäten den Höhepunkt und fielen dann langsam ab, um dann am letzten Wochenende sich wieder Fahrt aufzunehmen.


Bild 1. Aktivitäten des Exploit Kits in den USA während der letzten sieben Tage

Die Analyse hat ergeben, dass ein Nutzer, der eine Seite mit der bösartigen Werbung besucht, automatisch an zwei Malvertising-Server umgeleitet wird, wobei der zweite das Angler Exploit Kit liefert.

Bild 2 und 3. Die beim Angriff genutzten Malvertising-Server und die diesbezüglichen Aktivitäten der letzten 24 Stunden (UTC, Universal Time Coordinated)

Das Exploit Kit lädt eine BEDEP-Variante herunter, die ihrerseits eine Schadsoftware ablegt, die die Forscher als TROJ_EVOTOB erkennen. (TROJ_EVOTOB wurde mittlerweile in TROJ_AVRECON umbenannt.)

Nutzer und Unternehmen sollten sicherstellen, dass ihre Anwendungen und Systeme auf aktuellem Stand sind und die neuesten Sicherheits-Patches umfassen. Angler Exploit Kit nutzt Sicherheitslücken etwa in Adobe Flash und Microsoft Silverlight aus.

Der zugehörige Hash für TROJ_AVRECON ist

  • 39600e79131fd35aa89f524306c84dffa870cd9d

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*