Malware versteckt sich als Bild in Werbebannern

wp_malvertising_bildWie das Sicherheitsunternehmen ESET berichtet, werden zur Zeit Millionen Besucher von populären Nachrichten-Webseiten Opfer von schadhaften Werbeanzeigen. Dabei versteckt sich die eigentliche Malware im Alphakanal eines Bildes einer kompromittierten Werbung und schleicht sich so unbemerkt auf die Systeme der Anwender. Auch heise.de beschäftigt sich aktuell mit dem Thema, legt dabei den Schwerpunkt jedoch auf die Funktionsweise des Exploit-Kits.

Vorsicht – Laut Eset werben die manipulierten Anzeigen für das Sicherheitstool »Browser Defence« und das Screenshot-Tool »Broxu«

Zum Einsatz kommt dabei eine Technik, die bereits mehrere Jahre alt ist, ursprünglich aus dem Umfeld der Kryptographie stammt und bereits in analoger Form in der Antike verwendet wurde. Mittels der Steganografie (griechisch: geheimes Schreiben) werden hier Informationen bzw. Schadcode in den Alpha-Kanal eines Bildes platziert, welche dann u.a. für Werbung und Werbebannern genutzt werden. Je nach Größe der eingebetteten Informationen kann die Qualität, wie Transparenz und Farbton des Bildes in Mitleidenschaft geraten. Diese Manipulation ist für den Anwender kaum wahrnehmbar.

bildschirmfoto-2016-12-12-um-11-29-59

Bild: welivesecurity.com

Der in diese Werbung eingebettete Javascript-Code liest den Alpha-Kanal des jeweiligen Bildes aus, um mit diesen Informationen z.B. den Browser auf diverse Sicherheitslücken und installierte Sicherheitssysteme hin zu überprüfen. Falls so eine Schwachstelle erkannt wird, werden letztendlich über weiteren Schadcode mitunter gleich mehrere Schwachstellen auf dem System, wie Sicherheitslücken in Adobe-Flash, ausgenutzt. In diesem Fall werden als GIF-Bilder getarnte Malware-Schnipsel auf die Rechner geladen.

Eset: Bisherige Entdeckungen beinhalteten Backdoors, Banking Trojaner, Spyware, File Stealer und verschiedene Trojan Downloader.

Erkennt die Malware bei ihrer Prüfung, dass sie in einer virtuellen Umgebung oder entsprechende Sicherheitsanwendungen aktiv sind, verzichtet sie auf einen Angriff und liefert eine saubere Version des Werbe-Banners aus.

Tipp der Experten – Wir von Botfrei tragen stetig dazu bei, dass das Internet ein stückweit sicherer wird. Deshalb befürworten wird aus reinen Sicherheitsgründen die Nutzung von Script-und Werbeblockern in Browsern. Bereits vor drei Jahren hat botfrei.de einen offenen Brief an die Werbe-Industrie verfasst, allerdings hat sich bis heute an deren Umsetzung leider wenig geändert. Weitere Informationen zur Problematik mit infizierten Werbebannnern finden Sie auch in unserem Beitrag: “Die meiste Malware wird über Werbung verteilt

Tipp von Botfrei: Wie kann ich meinen Rechner vor Malvertising schützen?

Bildschirmfoto 2014-10-20 um 13.00.59

Installieren Sie unseren kostenfreien Cyber-Impfstoff. Dank der verbauten Funktion “CryptoGuard” erkennt unser Impfstoff auch Aktivitäten von Verschlüsselungstrojanern. Er schlägt immer dann an, wenn Dateien verändert werden sollen und wichtige Meta-Daten, wie z.B. die Eigenschaft ein Word-Dokument zu sein, verlieren. Um Sie vor der Verschlüsselung zu schützen, stoppt unser “Watchdog” den Prozess, der hierfür verantwortlich ist und spielt die zuvor angelegten und im Arbeitsspeicher gehaltenen Sicherheitskopien der Dateien auf Ihre Platte zurück. Anleitung>>

  1. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!
  2. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  3. Halten Sie alle Programme auf dem Rechner aktuell z.B. automatisiert mit dem CSIS-Heimdal Security Agent
  4. Unerwünschte Werbung und diverse Scripte lassen sich sehr gut mit den Browser-Erweiterungen wie NoscriptAdblock vom System fernhalten.
  5. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.

Ist Ihr Computer mit dieser Malware infiziert, können Sie sich gerne in unserem kostenfreien Forum anmelden. Dort werden Experten das Problem “Schritt für Schritt” mit Ihnen beheben.