Aktuelles, Branche - geschrieben von dp am Donnerstag, Juli 9, 2020 18:05 - noch keine Kommentare
kaspersky: Neues Geschäftsmodell von Cyber-Kriminellen
Malvertising – laut kaspersky leiten über 1.000 zum Verkauf stehende URLs ahnungslose Besucher zuweilen auf schädliche Webseiten
[datensicherheit.de, 09.07.2020] Nach eigenen Angaben haben kaspersky-Experten über tausend inaktive Domains identifiziert, welche Anwender auf unerwünschte URLs weiterleiten, womit Cyber-Kriminelle Profit erzielen könnten. Viele dieser „Second-Stage-Seiten“ enthielten zudem schädliche Inhalte. Die entdeckten kompromittierten Domains werden demnach auf einem der größten Marktplätze für den Domain-Handel zum Verkauf angeboten.
Kaspersky-Experten erforschen neue cyber-kriminelle Vorgehensweise
Wenn Unternehmen nicht mehr für einzelne ihrer Domains zahlen, werden diese laut kaspersky manchmal von einem Dienstleister aufgekauft und auf dedizierten Marktplätzen zum Verkauf angeboten. Nutzer, die auf eine solche inaktive Webseite zugreifen möchten, würden dann auf Auktions-Webseiten weitergeleitet, „auf denen ihnen mitgeteilt wird, dass die Seite zum Verkauf steht“. Cyber-Kriminelle könnten dieses Vorgehen jedoch für sich missbrauchen und Profit daraus schlagen, indem sie die Webseite beispielsweise mit einem schädlichen Link austauschten.
Bei der Untersuchung eines Assistant-Tools, das zu einem populären Online-Spiel gehöre, habe die Anwendung versucht, die kaspersky-Experten auf eine unerwünschte URL zu leiten, welche auf dem weltweit ältesten und größten Marktplatz für Domains zum Verkauf angeboten worden sei. Die Experten seien allerdings nicht auf die reguläre Auktions-Seite weitergeleitet worden, sondern über einen zweistufigen Redirect auf eine auf der Sperrliste stehende Webseite.
Shlayer – laut kaspersky weitverbreiteter macOS-Trojaner
Bei der weiteren Analyse hätten rund 1.000 Webseiten identifiziert werden können, welche auf dem Marktplatz zum Verkauf gestanden hätten und bei denen die Besucher über einen zweistufigen Redirect auf über 2.500 unerwünschte URLs geführt worden seien. Bei vielen sei daraufhin der Trojaner „Shlayer“ heruntergeladen worden. Dabei handelt es sich laut kaspersky um eine weitverbreitete macOS-Malware, welche auf den infizierten Geräten Adware installiere und üblicherweise über Webseiten mit schädlichem Inhalt verbreitet werde.
Zwischen März 2019 und Februar 2020 habe der Großteil (89 Prozent) dieser „Second-Stage-Redirects“ auf Werbe-Seiten geführt. Bei den restlichen elf Prozent der Weiterleitungen hätten die Seiten selbst schädlichen Code enthalten oder die Nutzer aufgefordert, infizierte „MS-Office“- und PDF-Dateien herunterzuladen.
kaspersky identifiziert neue, lukrative Malvertising-Methode
Hinter dieser neuen Methode stecke ein „profitables Geschäftsmodell“. Denn die Cyber-Kriminellen erhielten eine Provision für die Weiterleitung auf unerwünschte Seiten – unabhängig davon, ob diese nun legitime Werbeseiten oder schädliche Websites sind. Man spreche hierbeo von „Malvertising“. Bei einer dieser schädlichen Seiten seien beispielsweise 600 solcher Redirects in zehn Tagen registriert worden.
kaspersky geht davon aus, „dass die Cyber-Kriminellen eine Provision auf Basis der Anzahl der Visits erhalten haben“. Im Fall des Trojaners „Shlayer“ dürften die Verbreiter der Malware für jede Installation auf einem der Geräte bezahlt worden sein. Es sei „wahrscheinlich, dass die Masche auf Fehler bei der Anzeigenfilterung für das Modul zurückzuführen ist, das den Inhalt des Werbenetzwerks eines Drittanbieters anzeigt“.
Kaspersky warnt: Nutzer kann fast nichts tun, um Redirect auf schädliche Seiten zu entgehen
„Leider können Nutzer fast nichts tun, um einem Redirect auf schädliche Seiten zu entgehen“, so Dmitry Kondratyev, „Junior Malware Analyst“ bei kaspersky. Domains, die solche Redirects auslösen, seien früher legitime Ressourcen gewesen, welchen von den Anwendern unter Umständen recht häufig aufgesucht worden seien. Kondratyev betont: „Es gibt keine Möglichkeit festzustellen, ob diese Domains die Anwender jetzt auf Seiten zum Download von Malware weiterleiten oder nicht.“
Hinzu kommt laut Kondratyev, dass die Weiterleitung auf schädliche Webseiten nicht zwangsweise erfolgt: So könnte ein Zugriff auf diese Seiten von Russland aus keine Folgen haben, während der Zugriff über ein VPN den Download von „Shlayer“ nach sich ziehen könnte. Diese Art von Malvertising sei im Allgemeinen recht komplex und damit nur sehr schwer vollständig aufzudecken. Die beste Strategie sei daher die Installation einer umfassenden Sicherheitslösung auf den Geräten.
kaspersky-Tipps zum Schutz vor einer Infektion mit Trojanern beim Aufruf schädlicher Websites:
- Programme und Updates nur aus vertrauenswürdigen Quellen installieren.
- Webseiten hinsichtlich deren Seriosität durch vorherige Recherche überprüfen.
- Eine zuverlässige Sicherheitslösung (wie z.B. „Kaspersky Security Cloud“) verwenden, die sowohl Mac als auch PC sowie mobile Geräte schützt.
Weitere informationen zum Thema:
kaspersky SECURELIST, Dmitry Kondratyev, 08.07.2020
Research / Redirect auction
kaspersky, 23.01.2020
Tausende von Websites verbreiten macOS-Malware / Deutschland mit 14 Prozent international am zweithäufigsten von der Trojaner-Familie Shlayer betroffen
datensicherheit.de, 28.05.2020
Kaspersky ICS CERT: Angriffe auf Zulieferer für Industrieunternehmen identifiziert
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren