Achtung: Werbung in Skype bringt Schadsoftware mit

(Bild: Reddit / j8048188)

Aus der Skype-App heraus droht eine Ransomware-Infektion durch verseuchte Werbeanzeigen. Die Angreifer wechseln ständig die Domains, damit ihnen nicht auf die Schliche gekommen wird.

Aus Werbung in der Skype-App drohen Ransomware-Infektionen, wenn sie der Benutzer anklickt. Dieses sogenannte Malvertising verlangen vom Anwender, dass er ein Update für den Adobe Flash Player einspielt. Wer das Inserat anklickt, wird angegriffen.

Ein betroffener Nutzer beschrieb zuerst auf Reddit und belegte mit einem Screenshot, wie ihm auf dem Skype-Homescreen eine solche bösartige Anzeige begegnete und zur Ausführung einer Datei namens „FlashPlayer.hta“ aufforderte. Weitere Anwender beschwerten sich in den folgenden Tagen über ähnliche Vorfälle mit Skypes In-App-Inseraten, die teilweise ebenfalls für ein angebliches Flash-Update warben.

ZDNet.com bat Experten, den isolierten Code zu untersuchen und seine Funktionsweise zu erklären. Das gefälschte Flash-Inserat war für Windows-Rechner konzipiert und stieß einen Download an, dessen Ausführung ein verschleiertes JavaScript auslösen sollte. Der Code sollte dann die vom Nutzer eben geöffnete Anwendung löschen und einen PowerShell-Befehl ausführen, um ein JavaScript Encoded Script (JSE) herunterzuladen.

Diese aufeinanderfolgenden Schritte dienten offenbar dazu, die Erkennung durch Antivirus-Malware zu vermeiden. „Das ist das, was man allgemein einen zweistufigen Dropper nennt“, erklärte Ali-Reza Anghaie von der Sicherheitsfirma Phobos Group. „Es ist praktisch eine Hilfskomponente der Malware, die dann über das weitere Vorgehen entscheidet – abhängig vom Befehls- und Kontollserver, mit dem sie sich verbindet.“ Er ging außerdem davon aus, dass in 99 Prozent aller Fälle mit Ransomware zu rechnen sei, die den Computer verschlüsselt und anschließend den Nutzer erpresst. Anzeichen sprechen dafür, dass dabei das Exploitkit Angler zum Einsatz kommt, das schon bei früheren Malvertising-Kampagnen beobachtet wurde.

Lies auch: So sieht Skype for Business für den Mac aus

Die Domain, von der der weitere Download erfolgen sollte, existierte jedoch inzwischen nicht mehr, sodass Download und weitergehende Analyse des eigentlichen Malware-Codes nicht mehr möglich waren. Hinter der Fake-Werbung stehen offenbar Angreifer, die laufend die Domains wechseln, um ihre Spuren zu verwischen. Eine weitere Domain fand sich in einem Fake-Flash-Inserat, das zur IBM-Sicherheitsabteilung X-Force hochgeladen wurde. BleepingComputer stellte bei zwei verwendeten Domains fest, dass sie über E-Mail-Adressen registriert wurden, die schon zur Registrierung zahlreicher anderer dubioser Domains verwendet wurden, die im Zusammenhang mit Malware auffielen.

Es ist auch nicht das erste Mal, dass Skype durch Malvertising auffällt. So berichtete Threatpost 2015 von im Skype-Client ausgelieferten Inseraten, die der Verteilung von Schadsoftware dienten. 2016 stießen Sicherheitsforscher auf bösartige Inserate, die Angriffe mit dem Exploitkit Angler bezweckten, das häufig Ransomware transportiert.

Tags :Quellen:Mit Material von Bernd Kling, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising