Der Security-Anbieter proofpoint beschreibt in einem Blog-Beitrag eine neue Malvertising-Attacke, die durch Fake-Meldungen zu verfügbaren Browser-Updates die Anwender zum Download von Ad-Fraud-Software zu bewegen versucht. Die entsprechenden Fenster poppten auf den Seiten des PornHub-Netzwerks auf, für die Verbreitung wurde das Werbenetzwerk von TrafficJunky genutzt. Beide Anbieter sortierten die infizierten Anzeigen sofort nach Bekanntwerden des Angriffs aus. Dennoch lohnt es sich, sich das Schema dieser Attacke einmal genauer anzusehen.
Organisiert wurde sie offenbar von der KovCoreG Gruppe, die durch die Ad-Fraud-Malware Kovter bekanntgeworden ist. Ein Beitrag im amerikanischen Windows Security Blog beschreibt die Funktionsweise dieses Programms. Während die originale Kovter-Version ein angebliches Update für Adobe Flash als Lockmittel verwendete, bietet der Nachfolger eine Aktualisierung für den Browser an und passt sich dabei dem vom Anwender aktuell geöffneten Programm an.
Passgenau pro Browser serviert
Die Analysten bei proofpoint konnten Varianten der Attacke für Microsoft Edge/Internet Explorer, Mozilla Firefox und Google Chrome identifizieren. Die Software arbeitet also mit einem Filter, um jedem Anwender die richtige Update-Meldung für seinen Browser präsentieren zu können. Und sie setzt noch weitere Filter ein, mit denen sie die Angriffsziele auf bestimmte Provider und geographische Regionen beschränkt. Zusätzliche Abfragen ermitteln die Zeitzone, das Bildschirmformat, die Sprache und den Verlauf des aktuellen Browser-Fensters. So verhindert die Malware zum einen, dass die Update-Meldung Anwender erreicht, die selbst nicht Englisch sprechen und andere Sprachversionen der genannten Browser installiert haben, und erhöht damit die Erfolgschancen der Attacke. Zum anderen erzeugt sie aus diesen Informationen eine eindeutige ID des Rechners.
Nimmt der Anwender nun die Einladung zum Aktualisieren seines Browsers an, ruft die Software einen JavaScript-Code auf, der eine Reihe von Dateien herunterlädt und installiert. Sie führen anschließend mit im Hintergrund laufenden Browser-Instanzen einen Click-Fraud (Klickbetrug) aus, täuschen also Klicks auf Werbebanner vor, die tatsächlich niemand gesehen hat. Ebenso gut könnte auf diesem Wege allerdings auch Ransomware verteilt werden. Die zuvor erwähnte ID dient dabei dem Zweck, Malware-Analysten den Zugriff zu den Hostservern so schwer wie möglich zu machen.
Updates nur aus sicherer Quelle
Die neue Kovter-Variante zielt vor allem auf Anwender in den USA, Großbritannien, Kanada und Australien. Aber auch deutsche Anwender waren bereits Ziel von Angriffen, die mit Fake-Updates arbeiteten. Sie boten beispielsweise Aktualisierungen für WhatsApp, Windows oder den Flash Player an, installierten jedoch tatsächlich Abofallen, Ransomware oder Werbeanzeigen. Anwender sollten sich bewusst sein, dass notwendige Programm- und Betriebssystem-Updates niemals über Websites ermittelt werden. Zudem sollten sie diese Aktualisierungen nur über interne Mechanismen wie etwa das Windows-Update beziehungsweise die App-Stores von Apple und Google herunterladen.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland.