- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Gut dokumentierte Infektionskette


Google Chrome-Nutzer vom neuen "ElTest Social Engineering"-Schema ins Visier genommen
Die Infektionsmethode kombiniert kompromittierte Websites, Browser-Targeting und Social-Engineering, um Nutzer zu täuschen

- Anzeigen -





Forscher von Proofpoint haben eine neue Angriffsmethode entdeckt, die versucht, Google Chrome-Nutzer zum Herunterladen von Malware zu veranlassen. Erreicht werden soll dies durch selektive Injektionen in Websites, die das Auftreten von Problemen zusammen mit dem Angebot von gefälschten Lösungen vortäuschen. Benutzer in vielen verschiedenen Regionen sind betroffen. Die Infektionsmethode kombiniert kompromittierte Websites, Browser-Targeting und Social-Engineering, um Nutzer zu täuschen.

Dieser neue Infektionsweg ist die letzte Entwicklung in der ElTest-Kette, einer gut dokumentierten Infektionskette, die kompromittierte Webseiten nutzt, um die betroffenen User auf EK-Landing-Seiten zu verweisen.

In einem neuen Blog-Post beschreiben die Proofpoint-Experten die EITest-Filtermechanismen, um den Angriff zu analysieren. Der Blog-Beitrag hebt hervor:

>> Die Infektion ist einfach und direkt: Ein Skript wird in eine Webseite eingefügt und schreibt die kompromittierte Website auf dem Browser eines potenziellen Opfers um. Die Seite wird unlesbar und so zu einem Problem, das der Anwender zu lösen hat.

>> Dem Benutzer wird ein modales und somit neues Fenster zur Verfügung gestellt, das eine "Lösung" anbietet: In diesem Fall die Installation eines gefälschten und aktualisierten Font-Packs, was tatsächlich der Malware-Payload ist.

>> Nach der Infektion wird der Computer von selbst im Hintergrund den Browser starten

Proofpoint stellte fest, dass diese Kampagne am 10. Dezember 2016 begann. Seit dieser Zeit ist die heruntergeladene ausführbare Datei "Chrome_Font.exe" tatsächlich eine Art von Ad fraud Malware, die als Fleercivet bekannt ist.
(Proofpoint: ra)

eingetragen: 10.02.17
Home & Newsletterlauf: 06.03.17


Proofpoint: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Werbeanzeigen lösen Wi-Fi-Verbindungen aus

    Die Sicherheitsforscher von Check Point Software Technologies haben die neue Adware "LightsOut" in Google Play entdeckt. Die Malware wurde in 22 unterschiedlichen Flashlight- und Dienstprogramm-Anwendungen im offiziellen App-Store von Google gefunden. Dabei geht man von einer erreichten Verbreitung von 1,5 Millionen bis 7,5 Millionen Downloads aus. Ziel von LightsOut war die Generierung illegaler Werbeeinnahmen auf Kosten seiner ahnungslosen Opfer.

  • Zielrichtung E-Mail und Social Media

    Der Banking-Trojaner Terdot, der ursprünglich auf Online-Banking und Zahlungsvorgänge abzielte, feiert gerade Comeback als Instrument zum Diebstahl von Daten und Anmeldeinformationen. Ein aktuell veröffentlichtes Whitepaper von Bitdefender zeichnet detailliert nach, wie der Trojaner entstanden ist, wie er sich ausbreitet und tarnt, was er an Fähigkeiten heute besitzt und wie er sich noch entwickeln könnte. Leser erhalten mit der detaillierten technischen Analyse ein Musterbeispiel, wie Cyberkriminelle heute ihre Attacken individualisieren und perfektionieren. Seine Fähigkeiten gehen über den Primärzweck eines Banking-Trojaners weit hinaus: Terdot kann unter anderem durch einen leistungsstarken Man-in-the-Middle-Proxy sensible Daten aus dem gesamten Internetverkehr eines Users filtern und weiterleiten. Zudem ist es ihm möglich, Browser-Informationen wie Login-Daten und Kreditkarteninformationen zu stehlen und HTML-Code in besuchte Webseiten zu injizieren.

  • Selbstschutz und Zerstörung

    Die Experten von Kaspersky Lab haben mit ,Loapi' eine neue, multimodular aufgebaute mobile Malware entdeckt, die nahezu beliebig schädliche Aktionen ausführen kann - von nicht gewünschten Werbeeinblenden über SMS-Betrug bis hin zum Mining von Kryptowährungen und zur Durchführung von DDoS-Attacken (Distributed Denial-of-Service). Durch seine modulare Architektur kann der ungewöhnliche und mächtige Android-Trojaner auf einem kompromittierten Gerät um zahlreiche schädliche Funktionen nachgerüstet werden. Ein weiteres Merkmal unterscheidet ,Loapi' von der Masse üblicher Android-Malware: der Schädling kann ein mobiles Gerät durch eine zu hohe Auslastung physisch zerstören.

  • Riesiges neues Bot-Netz entdeckt

    Sicherheitsforscher haben ein riesiges neues Bot-Netz entdeckt, das auf den Namen Reaper oder auch "Io Troop" getauft wurde. Und das mit gutem Grund, denn es zielt vor allem auf schlecht gesicherte Geräte im Internet der Dinge ab und versucht aus ihnen eine Art Zombie-Armee zu machen. Das Ausmaß ist beachtlich und Forscher sprechen bereits von Größenordnungen, die potenziell das gesamte Internet lahmlegen könnten. Was die Zahlen anbelangt, wurde jüngst veröffentlicht, dass mehr als geschätzte 1 Million Unternehmen weltweit infiziert sind. Io Troop habe das Potenzial noch leistungsstärker zu sein als das bekannte Mirai-Botnet, einer der folgenschwersten Cyberangriffe überhaupt.

  • Hintergrund zum Mokes Backdoor

    Anfang Oktober 2017 wurde im Wall Street Journal ein Artikel mit dem Vorwurf veröffentlicht, dass über Software von Kaspersky Lab als vertraulich eingestufte Daten von einem privaten Rechner eines NSA-Mitarbeiters geladen wurden. Da sich Kaspersky Lab seit 20 Jahren an vorderster Front im Kampf gegen Cyberspionage und Cyberkriminalität sieht, wurden die Vorwürfe innerhalb des Unternehmens sehr ernst behandelt. Kaspersky Lab hat daher eine interne Untersuchung durchgeführt, um Fakten zu sammeln und jegliche Bedenken zu adressieren. Bereits am 25. Oktober 2017 wurden erste, vorläufige Ergebnisse der Untersuchung veröffentlicht - darunter allgemeine Erkenntnisse der unternehmensinternen Suche nach Beweisen für die in den Medien geäußerten Vorwürfe. Der veröffentlichte neue Bericht bestätigt die vorläufigen Ergebnisse und gibt zusätzliche Einblicke der telemetrischen Analyse des Vorfalls durch Kaspersky-Produkte. Demnach lassen sich auf dem betroffenen Rechner verdächtige Aktivitäten feststellen, und zwar im Zeitraum des Vorfalls im Jahr 2014.