![Beitragsbild zu Malvertising: Über 1.000 zum Verkauf stehende URLs leiten ahnungslose Besucher auf teils schädliche Seiten weiter](https://www.all-about-security.de/wp-content/uploads/2020/09/sky-3238050_1280.jpg)
Neues Geschäftsmodell von Cyberkriminellen + Trojaner Shlayer bringt Adware auf die Geräte
Kaspersky-Experten haben über tausend inaktive Domains identifiziert, die Anwender auf unerwünschte URLs weiterleiten, womit Cyberkriminelle Profit erzielen können [1]. Viele dieser Second-Stage-Seiten enthalten zudem schädliche Inhalte. Die entdeckten kompromittierten Domains werden auf einem der größten Marktplätze für den Domain-Handel zum Verkauf angeboten.
Wenn Unternehmen nicht mehr für einzelne ihrer Domains zahlen, werden diese manchmal von einem Dienstleister aufgekauft und auf dedizierten Marktplätzen zum Verkauf angeboten. Nutzer, die auf eine solche inaktive Webseite zugreifen möchten, werden dann auf Auktions-Webseiten weitergeleitet, auf denen ihnen mitgeteilt wird, dass die Seite zum Verkauf steht. Cyberkriminelle können dieses Vorgehen jedoch für sich missbrauchen und Profit daraus schlagen, indem sie die Webseite beispielsweise mit einem schädlichen Link austauschen.
Bei der Untersuchung eines Assistant Tools, das zu einem populären Online-Spiel gehört, hatte die Anwendung versucht, die Kaspersky-Experten auf eine unerwünschte URL zu leiten, die auf dem weltweit ältesten und größten Marktplatz für Domains zum Verkauf angeboten wurde. Die Experten wurden allerdings nicht auf die reguläre Auktions-Seite weitergeleitet, sondern über einen zweistufigen Redirect auf eine Webseite, die auf der Sperrliste steht.
Cyberkriminelle verbreiten macOS-Trojaner Shlayer
Bei der weiteren Analyse konnten rund 1.000 Webseiten identifiziert werden, die auf dem Marktplatz zum Verkauf standen und bei denen die Besucher über einen zweistufigen Redirect auf über 2.500 unerwünschte URLs geführt wurden. Bei vielen wurde daraufhin der Trojaner Shlayer [2] heruntergeladen. Dabei handelt es sich um eine weitverbreitete macOS-Malware, die auf den infizierten Geräten Adware installiert und üblicherweise über Webseiten mit schädlichem Inhalt verbreitet wird.
Zwischen März 2019 und Februar 2020 führte der Großteil (89 Prozent) dieser Second-Stage-Redirects auf Werbe-Seiten. Bei den restlichen 11 Prozent der Weiterleitungen enthielten die Seiten selbst schädlichen Code oder forderten die Nutzer auf, infizierte MS-Office- und PDF-Dateien herunterzuladen.
Neue, lukrative Malvertising-Methode für Cyberkriminelle
Laut Kaspersky-Experten steckt hinter dieser neuen Methode ein profitables Geschäftsmodell. Denn die Cyberkriminellen erhalten eine Provision für die Weiterleitung auf unerwünschte Seiten – unabhängig davon, ob diese nun legitime Werbeseiten sind oder schädlichen Websites. Man spricht hier von Malvertising. Bei einer dieser schädlichen Seiten wurden beispielsweise 600 solcher Redirects in zehn Tagen registriert. Kaspersky geht davon aus, dass die Cyberkriminellen eine Provision auf Basis der Anzahl der Visits erhalten haben. Im Fall des Trojaners Shlayer dürften die Verbreiter der Malware für jede Installation auf einem der Geräte bezahlt worden sein.
Es ist wahrscheinlich, dass die Masche auf Fehler bei der Anzeigenfilterung für das Modul zurückzuführen ist, das den Inhalt des Werbenetzwerks eines Drittanbieters anzeigt.
„Leider können Nutzer fast nichts tun, um einem Redirect auf schädliche Seiten zu entgehen“, erklärt Dmitry Kondratyev, Junior Malware Analyst bei Kaspersky. „Domains, die solche Redirects auslösen, waren früher legitime Ressourcen, die von den Anwendern unter Umständen recht häufig aufgesucht wurden. Es gibt keine Möglichkeit festzustellen, ob diese Domains die Anwender jetzt auf Seiten zum Download von Malware weiterleiten oder nicht. Hinzu kommt, dass die Weiterleitung auf schädliche Webseiten nicht zwangsweise erfolgt: So könnte ein Zugriff auf diese Seiten von Russland aus keine Folgen haben, während der Zugriff über ein VPN den Download von Shlayer nach sich ziehen könnte. Diese Art von Malvertising ist im Allgemeinen recht komplex und damit nur sehr schwer vollständig aufzudecken. Die beste Strategie ist daher die Installation einer umfassenden Sicherheitslösung auf den Geräten.“
Kaspersky-Tipps zum Schutz vor einer Infektion mit Trojanern beim Aufruf schädlicher Websites
- Programme und Updates nur aus vertrauenswürdigen Quellen installieren.
- Webseiten hinsichtlich deren Seriosität durch vorherige Recherche überprüfen.
- Eine zuverlässige Sicherheitslösung wie Kaspersky Security Cloud [3] verwenden, die sowohl Mac als auch PC sowie mobile Geräte schützt.
Weitere Ergebnisse der Analyse sind verfügbar unter securelist.com/redirect-auction/96944/
[1] https://securelist.com/redirect-auction/96944/[2] https://www.kaspersky.de/about/press-releases/2020_tausende-von-websites-verbreiten-macos-malware
[3] https://www.kaspersky.de/security-cloud
Foto: https://pixabay.com/de/
Fachartikel
![Featured image for “Kontinuierliche Ransomware-Validierung: Warum jährliche Tests nicht mehr ausreichen”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_19125253_S.jpg)
Kontinuierliche Ransomware-Validierung: Warum jährliche Tests nicht mehr ausreichen
![Featured image for “Herausforderungen im Zuge von IT-Sicherheit: Ist MDR die Lösung?”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_95679652_S.jpg)
Herausforderungen im Zuge von IT-Sicherheit: Ist MDR die Lösung?
![Featured image for “IT-Sicherheit: Die vier typischsten Angriffsflächen von Unternehmen”](https://www.all-about-security.de/wp-content/uploads/2023/04/wood-g908abea64_640.jpg)
IT-Sicherheit: Die vier typischsten Angriffsflächen von Unternehmen
![Featured image for “CTEM: Ein moderner Ansatz für kontinuierliches Bedrohungsmanagement”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_77282656_S.jpg)
CTEM: Ein moderner Ansatz für kontinuierliches Bedrohungsmanagement
![Featured image for “Gefährdet: Wie Hacker die Zukunft der Software Defined Vehicles bedrohen”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_575283544_S.jpg)
Gefährdet: Wie Hacker die Zukunft der Software Defined Vehicles bedrohen
Studien
![Featured image for “KI-gestützter Identitätsbetrug auch 2025 weiter auf dem Vormarsch”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_435022046_S.jpg)
KI-gestützter Identitätsbetrug auch 2025 weiter auf dem Vormarsch
![Featured image for “Wissenschaftler der Universität Paderborn entwickeln App, die sicheres digitales Verhalten fördert”](https://www.all-about-security.de/wp-content/uploads/2024/10/app-68002_6401.jpg)
Wissenschaftler der Universität Paderborn entwickeln App, die sicheres digitales Verhalten fördert
![Featured image for “HP Wolf Security-Studie: Sicherheitslücken bedrohen Unternehmen in jeder Phase des Gerätelebenszyklus”](https://www.all-about-security.de/wp-content/uploads/2024/12/Depositphotos_10846788_S.jpg)
HP Wolf Security-Studie: Sicherheitslücken bedrohen Unternehmen in jeder Phase des Gerätelebenszyklus
![Featured image for “Neue Studie deckt Anstieg der SAP-Automatisierung bei zunehmender S/4HANA-Migration auf”](https://www.all-about-security.de/wp-content/uploads/2024/11/Depositphotos_525824074_S.jpg)
Neue Studie deckt Anstieg der SAP-Automatisierung bei zunehmender S/4HANA-Migration auf
![Featured image for “Studie belegt API-Sicherheitsvorfälle bei 84 Prozent der deutschen Sicherheitsexperten im vergangenen Jahr”](https://www.all-about-security.de/wp-content/uploads/2024/01/comics-151341_640.png)
Studie belegt API-Sicherheitsvorfälle bei 84 Prozent der deutschen Sicherheitsexperten im vergangenen Jahr
Whitepaper
![Featured image for “Allianz Risk Barometer 2025”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_1272614_S.jpg)
Allianz Risk Barometer 2025
![Featured image for “Start der elektronischen Patientenakte: 65% der Deutschen fühlen sich schlecht informiert”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_170397486_S.jpg)
Start der elektronischen Patientenakte: 65% der Deutschen fühlen sich schlecht informiert
![Featured image for “Globaler Ausblick auf die Cybersicherheit 2025 – Orientierung in der zunehmenden Cyberkomplexität”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_127153934_S.jpg)
Globaler Ausblick auf die Cybersicherheit 2025 – Orientierung in der zunehmenden Cyberkomplexität
![Featured image for “CISA und US-amerikanische und internationale Partner veröffentlichen Leitfaden zu vorrangigen Überlegungen bei der Produktauswahl für OT-Eigentümer und -Betreiber”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_312417314_S.jpg)
CISA und US-amerikanische und internationale Partner veröffentlichen Leitfaden zu vorrangigen Überlegungen bei der Produktauswahl für OT-Eigentümer und -Betreiber
![Featured image for “Report: Die meisten Cyberkriminellen brechen nicht ein, sondern loggen sich ein”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_86577086_S.jpg)
Report: Die meisten Cyberkriminellen brechen nicht ein, sondern loggen sich ein
Hamsterrad-Rebell
![Featured image for “Network Access Enforcement”](https://www.all-about-security.de/wp-content/uploads/2025/01/Watchguard_Titel_jiw.jpg)
Network Access Enforcement
![Featured image for “Maximale Sicherheit und Produktivität: Worauf es bei der Einführung von Microsoft Copilot ankommt”](https://www.all-about-security.de/wp-content/uploads/2025/01/Varonis_Titel_jiw.jpg)
Maximale Sicherheit und Produktivität: Worauf es bei der Einführung von Microsoft Copilot ankommt
![Featured image for “Vertrauen in große Anbieter: Realität oder Illusion”](https://www.all-about-security.de/wp-content/uploads/2024/12/Exeon_Dezember_titel_jiw.jpg)
Vertrauen in große Anbieter: Realität oder Illusion
![Featured image for “Wie lasse ich meine SAP Systeme in der Cloud laufen, damit die Kosten übersichtlich bleiben?”](https://www.all-about-security.de/wp-content/uploads/2024/12/Alina_Dezember_24_jiw.jpg)
Wie lasse ich meine SAP Systeme in der Cloud laufen, damit die Kosten übersichtlich bleiben?
![Featured image for “Wie kann man mit Pentera wie ein Angreifer denken?”](https://www.all-about-security.de/wp-content/uploads/2024/11/Pentera_Titel_Nov_jiw.jpg)