Das ist neu: Cyberkriminelle nutzen die Corona-Krise für Malvertising-Kampagnen. Laut Analysen von Avast kaufen Werbefläche von Ad-Netzwerken ein, um auf Websites Werbung zu schalten, die mit Schadcodes versehen ist. Dazu verwenden sie Website-Namen, die dem Anschein nach Informationen zum Coronavirus enthalten, um die Betreiber der Ad-Netzwerke zu täuschen.
Eine aktuelle Malvertising-Kampagne verteilt ein Exploit Kit namens Fallout, das Schwachstellen in älteren Versionen des Internet Explorers ausnutzt – ohne dass der Anwender etwas davon merkt, geschweige denn eingreifen kann. Ziel ist es, KPOT v2.0 auf den Computern zu installieren: eine Malware, die Informationen beziehungsweise Passwörter erbeutet, auch „Stealer“ (englisch: „Dieb“) genannt. Das Exploit Kit existiert bereits seit 2018 und zielt vor allem auf japanische und südkoreanische Nutzer ab. Am 26. März 2020 registrierten die Cyberkriminellen, die hinter der Kampagne stehen, die Domain covid19onlineinfo.com. Seitdem haben sie die Domains, auf welchen das Exploit Kit gehostet wird, immer wieder gewechselt und etwa sechs verschiedene Domains pro Tag registriert, um Antivirenerkennung zu umgehen.
So funktioniert das Exploit Kit Fallout
Malvertising wird in der Regel auf Streaming-Seiten gehostet und öffnet sich automatisch in einer neuen Registerkarte, sobald der Nutzer auf die Play-Schaltfläche klickt, um ein Video anzusehen. Wenn ein Nutzer mit dem Fallout Exploit Kit eine Seite besucht, die für Malvertising instrumentalisiert wird, und eine veraltete Version des Internet Explorers nutzt, versucht das Exploit Kit Zugriff auf seinen Computer zu erlangen. Es versucht, eine Schwachstelle im Adobe Flash Player (CVE-2018-15982, Patch veröffentlicht im Januar 2019) auszunutzen, welche zur Ausführung eines beliebigen Codes führen kann, sowie zu einer Schwachstelle zur Remote-Code-Ausführung in der VBScript-Engine, die mehrere Windows-Versionen betrifft (CVE-2018-8174, Patch veröffentlicht im Mai 2018). Dies kann zum Absturz des Internet Explorers führen – das einzige Warnsignal, das den Nutzer misstrauisch machen könnte.
Das Exploit Kit hat bislang Computer mit verschiedenen Info-Stealern und Banking-Trojanern infiziert. Aktuell wird der Passwort- beziehungsweise Informations-Stealer KPOT v2.0 verteilt. Er versucht, grundlegende Informationen zu stehlen, unter anderem den Computernamen, den Windows-Benutzernamen, die IP-Adresse, die auf dem Gerät installierte Software oder die Rechner-GUID, und sendet diese Informationen an einen Command-and-Control-Server.
Anschließend stiehlt die Malware Passwörter und andere Dateien. Forscher bei Proofpoint haben die KPOT-Malware analysiert und herausgefunden, welche Befehle vom Command-and-Control-Server an die Malware gesendet werden können:
- Cookies, Passwörter und Autofill-Daten von Chrome stehlen
- Cookies, Passwörter und Autofill-Daten von Firefox stehlen
- Cookies vom Internet Explorer stehlen
- Verschiedene Krypto-Währungsdateien stehlen
- Skype-Konten stehlen
- Telegrammkonten stehlen
- Discord-Konten stehlen
- Battle.net-Konten stehlen
- Internet-Explorer-Kennwörter stehlen
- Steam-Konten stehlen
- Machen Sie einen Screenshot
- Verschiedene FTP-Client-Accounts stehlen
- Verschiedene Windows-Anmeldeinformationen stehlen
- Verschiedene Jabber-Kundenkonten stehlen
- Selbst entfernen
Deutschland zählt zu den Top-Zielländern
Bis zum 14. April 2020 verhinderte Avast 178.814 Angriffsversuche, die auf 96.278 Anwender weltweit abzielten. Zu den Top-Zielländern zählen Kanada, USA, Japan, Spanien, Italien, Australien, Brasilien, Frankreich, Türkei und Deutschland – Kanada an der Spitze mit 37.342 abgewehrten Angriffsversuchen bei 12.496 Nutzern und Deutschland an zehnter Stelle mit 3.331 abgewehrten Angriffsversuchen bei 2.452 Nutzern.
Vier Tipps, wie sich Anwender schützen können:
- Installieren Sie eine Antiviren-Software, die Angriffe wie diesen erkennt und verhindert.
- Halten Sie Software, Browser und Betriebssysteme immer auf dem neuesten Stand. Updates sind wichtig, da sie nicht nur neue Funktionen liefern, sondern auch Sicherheits-Patches zur Behebung von Schwachstellen enthalten.
- Deaktivieren Sie Flash, es sei denn, es wird benötigt. Flash wird nicht mehr von vielen Websites verwendet, allerdings missbrauchen Cyberkriminelle nach wie vor Flash-Schwachstellen.
- Aktivieren Sie die neuen Passwortschutz-Funktion von Avast, die bei Avast Premium unter „Privatsphäre“ zu finden ist. Der Passwortschutz von Avast warnt den Nutzer, wenn ein Programm versucht, auf Passwörter zuzugreifen, die in Chrome oder Firefox gespeichert sind.
https://www.avast.com/de-de/index#mac