Exploit Kit kommt über Werbenetzwerke


Eset, Hersteller von Antiviren- und Security-Software, beschreibt in seinem Blog das so genannte Stegano Exploit Kit, das verschiedene Sicherheitslücken im Internet Explorer und Adobe Flash ausnutzt, um auf fremden Computern Backdoors zu öffnen oder Malware zu installieren. Erste Versionen des Kits kursieren bereits schon seit 2014 im Internet, die aktuelle Ausführung ist vermutlich seit Oktober 2016 aktiv.

Die Kriminellen gingen bei der Programmierung des Exploit Kits äußerst vorsichtig vor und trafen mehrere Maßnahmen, um eine Entdeckung zu verhindern. Offensichtlich war es ihnen gelungen, ein oder mehrere Werbenetzwerke zu infizieren. In der Folge tauchten auf Websites per Steganographie modifizierte Banner-Grafiken auf, die für die Programme „Browser Defense“ und „Broxu“ warben. Sie enthielten ein Skript, das in einem ersten Schritt Informationen zum Computer des Anwenders sammelte.

Der Versuch, Antivirenhersteller auszutricksen

Abhängig von den Ergebnissen, wurde dem Rechner im nächsten Schritt eine per Steganographie unmerklich modifizierte Version des Banner-Bildes untergeschoben. Durch Ausnutzen einer bekannten und bereits gepatchten Sicherheitslücke im Internet Explorer überprüften die kriminellen Hacker damit, ob es sich um eine überwachte Umgebung handelte, wie sie etwa Antiviren-Hersteller zum Aufspüren von Schadsoftware aufbauen.

Falls das Ergebnis negativ ausfiel, leitete das Skript den Computer zur Website des Stegano Exploit Kits um. Von dort wurde er mit einer Flash-Datei infiziert, die imstande ist, drei verschiedene Sicherheitslücken in älteren Versionen des Adobe Flash Players auszunutzen. Danach erfolgte eine weitere Überprüfung des Systems. Dieses Mal wurde nach der vorhandenen Security-Software gescannt und erneut sichergestellt, dass es sich nicht um eine spezielle Virenfalle handelt. Erst nachdem diese Vorarbeiten abgeschlossen waren, wurde die eigentliche Malware im Gewand eines GIF-Bildes auf den Zielrechner geladen und mit den Windows-Komponenten regsvr32.exe oder rundll32.exe gestartet. Der Typ des auf diese Weise eingeschleusten Virus war von Fall zu Fall unterschiedlich. ESET entdeckte beispielsweise Software zum Öffnen von Backdoors, Banking-Trojaner oder auch Spyware.

Interessant ist bei dieser Angriffsmethode, dass es den Kriminellen offensichtlich gelungen ist, die weltweiten Werbenetzwerke zu kapern. Das lässt weitere Attacken befürchten, die über Banner und andere Werbung Malware ausliefern. Die Zahl der Betroffenen ist dagegen hoffentlich nur gering, da für den Internet Explorer bereits seit längerem Patches für die ausgenutzten Sicherheitslücken vorliegen und auch die Lücken im Flash-Player über Windows Update geschlossen wurden. Seit Windows 10 bietet Microsoft seinen Kunden zudem den neuen Browser Edge an, der durch diese Angriffsmethode nicht verwundbar ist.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)

Skip to main content