Categories: SicherheitVirus

Vermeintliche Skype-Inserate verbreiten Ransomware

In der Skype-App tritt derzeit vermehrt Malvertising auf. So berichten Nutzer davon, dass über vermeintliche Werbung Ransomware verbreitet wird. Die Malvertising-Inserate täuschen ein Update für den Adobe Flash Player vor. Statt dessen aber wird darüber ein mehrstufiger Angriff gestartet. Von Microsoft gibt es derzeit keine Stellungnahme.

Ein betroffener Nutzer machte über Reddit auf das Problem aufmerksam und belegte mit einem Screenshot die bösartige App auf dem Skype-Homescreen. Darin wurde der Nutzer zur Ausführung der Datei “FlashPlayer.hta” aufgefordert. Weitere Anwender beschwerten sich in den folgenden Tagen über ähnliche Vorfälle mit Skypes In-App-Inseraten, die teilweise ebenfalls für ein angebliches Flash-Update warben.

Falsche Anzeige in Skype. (Bild: Reddit / j8048188)

ZDNet.com bat Experten, den isolierten Code zu untersuchen und seine Funktionsweise zu erklären. Das gefälschte Flash-Inserat war für Windows-Rechner konzipiert und stieß einen Download an, dessen Ausführung ein verschleiertes JavaScript auslösen sollte. Der Code sollte dann die vom Nutzer eben geöffnete Anwendung löschen und einen PowerShell-Befehl ausführen, um ein JavaScript Encoded Script (JSE) herunterzuladen.

Diese aufeinanderfolgenden Schritte dienten offenbar dazu, die Erkennung durch Antivirus-Malware zu vermeiden. “Das nennt man allgemein einen zweistufigen Dropper”, erklärte Ali-Reza Anghaie von der Sicherheitsfirma Phobos Group. “Es ist praktisch eine Hilfskomponente der Malware, die dann über das weitere Vorgehen entscheidet – abhängig vom Befehls- und Kontollserver, mit dem sie sich verbindet.” Er ging außerdem davon aus, dass in 99 Prozent aller Fälle mit Ransomware zu rechnen sei, die den Computer verschlüsselt und anschließend den Nutzer erpresst. Anzeichen sprechen dafür, dass dabei das bekannte Exploitkit “Angler” zum Einsatz kommt.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

Die Domain, von der der weitere Download erfolgen sollte, existierte jedoch inzwischen nicht mehr, sodass Download und weitergehende Analyse des eigentlichen Malware-Codes nicht mehr möglich waren. Hinter der Fake-Werbung stehen offenbar Angreifer, die laufend die Domains wechseln, um ihre Spuren zu verwischen. Eine weitere Domain fand sich in einem Fake-Flash-Inserat, das zur IBM-Sicherheitsabteilung X-Force hochgeladen wurde. BleepingComputer stellte bei zwei verwendeten Domains fest, dass sie über E-Mail-Adressen registriert wurden, die schon zur Registrierung zahlreicher anderer dubioser Domains verwendet wurden, die im Zusammenhang mit Malware auffielen.

Es ist nicht das erste Mal, dass Skype durch Malvertising auffällt. So berichtete Threatpost 2015 von im Skype-Client ausgelieferten Inseraten, die der Verteilung von Schadsoftware dienten. 2016 stießen Sicherheitsforscher auf Inserate, die Angriffe mit dem Exploitkit Angler bezweckten, das häufig Ransomware transportiert.

[mit Material von Bernd Kling, ZDNet.de]

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

8 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

9 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago