Malvertising über Skype

Gefälschte Werbeanzeigen in Skype – Nutzern droht die Kompromittierung des Rechners bis zur Erpressung über eine Ransomware-Infektion.

Anwender berichten, dass die Skype-App in den letzten Tagen vermehrt bösartige Werbung ausgespielt hat. Dabei handelte es sich vor allem um ein angebliches Adobe Flash Player-Update, welches notwendigerweise auf dem System installiert werden soll. Mit einem Klick wird das Unheil gestartet. Ein betroffener Anwender meldeten sich dazu auf Reddit und Twitter und postet zudem einen Screenshot der auslösenden Werbeanzeige.

Gut zu erkennen, hier soll über ein gefälschtes Flash-Player-Update eine HTA-Datei namens FlashPlayer.hta ausgeführt werden.

bösartige Werbeanzeige

Bild: bleepingcomputer.com – bösartige Werbeanzeige

Experten konnten die Angriffsroutine nachvollziehen: Grundsätzlich hat es die Malvertising-Infektion auf Windows-Anwender abgesehen. Über die gefälschte Flash-Update Werbung wird ein mehrstufiger Prozess ausgelöst, der in der Regel (nicht bestätigt) Banking-Trojaner bzw. Ransomware mit sich bringen kann.

Experten der Sicherheitsfirma Phobos Group nennen dieses Vorgehen einen zweistufigen Dropper. 

Laut den Experten von Bleepingcomputer wurden hinter dieser Infektion zwei Domains entdeckt, die die gefälschten Flash Player Updates verteilten (oyomakaomojiya.org und cievubeataporn.net.) Beide Domains, sowie E-Mail Adressen sind bereits bei Virustotal.com bekannt und wegen verdächtiger Aktivitäten gelistet.

Der Infektionweg ließ sich rekonstruieren: Bei der Ausführung des Flash-Player Updates wird über die HTA-Datei eine Javascript-Datei ausgeführt, die zum einen die windows eigene Powershell zum Download eines verschlüsselten JavaScript Encoded Scripts (JSE) bemüht. Zum anderen, um unbemerkt an installierten Antiviren-Programmen vorbei zu kommen, löscht sich das Script ohne weitere Spuren zu hinterlassen vom System.

Leider konnten die Experten keine weiteren Analysen an der eigentlichen Malware durchführen, da die Download-Domain zum Infektions-Zeitpunkt nicht mehr erreichbar war. Ständig wechselnde Domains, diese Methode wird immer wieder von Kriminellen eingesetzt, um Spuren zu verwischen.

Leider hat Skype immer wieder mit diversen Negativ-Nachrichten zu kämpfen. So berichten Skype-Nutzer heute noch von einem Problem, bei dem Nachrichten mit eingebetteten Links über den eigenen Account beispielsweise an eigene Kontakte versendet werden. Bei der kleinsten Unachtsamkeit hat sich der Empfänger schnell eine bösartige Infektionen auf den Computer geladen.

Tipp: Mit dem kostenfreien “Kaspersky Software Updater” halten Sie grundsätzlich installierte Software auf dem System aktuell.

Maßnahmen mit denen Sie den Computer absichern können!

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Ändern Sie die Standardeinstellungen von Windows der die Datei-Erweiterungen ausblendet>>
  6. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  7. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  8. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers. Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen werden.