Share
Beitragsbild zu Malvertising: Über 1.000 zum Verkauf stehende URLs leiten ahnungslose Besucher auf teils schädliche Seiten weiter

Malvertising: Über 1.000 zum Verkauf stehende URLs leiten ahnungslose Besucher auf teils schädliche Seiten weiter

Neues Geschäftsmodell von Cyberkriminellen + Trojaner Shlayer bringt Adware auf die Geräte

Kaspersky-Experten haben über tausend inaktive Domains identifiziert, die Anwender auf unerwünschte URLs weiterleiten, womit Cyberkriminelle Profit erzielen können [1]. Viele dieser Second-Stage-Seiten enthalten zudem schädliche Inhalte. Die entdeckten kompromittierten Domains werden auf einem der größten Marktplätze für den Domain-Handel zum Verkauf angeboten.

Wenn Unternehmen nicht mehr für einzelne ihrer Domains zahlen, werden diese manchmal von einem Dienstleister aufgekauft und auf dedizierten Marktplätzen zum Verkauf angeboten. Nutzer, die auf eine solche inaktive Webseite zugreifen möchten, werden dann auf Auktions-Webseiten weitergeleitet, auf denen ihnen mitgeteilt wird, dass die Seite zum Verkauf steht. Cyberkriminelle können dieses Vorgehen jedoch für sich missbrauchen und Profit daraus schlagen, indem sie die Webseite beispielsweise mit einem schädlichen Link austauschen.

Bei der Untersuchung eines Assistant Tools, das zu einem populären Online-Spiel gehört, hatte die Anwendung versucht, die Kaspersky-Experten auf eine unerwünschte URL zu leiten, die auf dem weltweit ältesten und größten Marktplatz für Domains zum Verkauf angeboten wurde. Die Experten wurden allerdings nicht auf die reguläre Auktions-Seite weitergeleitet, sondern über einen zweistufigen Redirect auf eine Webseite, die auf der Sperrliste steht.

Cyberkriminelle verbreiten macOS-Trojaner Shlayer

Bei der weiteren Analyse konnten rund 1.000 Webseiten identifiziert werden, die auf dem Marktplatz zum Verkauf standen und bei denen die Besucher über einen zweistufigen Redirect auf über 2.500 unerwünschte URLs geführt wurden. Bei vielen wurde daraufhin der Trojaner Shlayer [2] heruntergeladen. Dabei handelt es sich um eine weitverbreitete macOS-Malware, die auf den infizierten Geräten Adware installiert und üblicherweise über Webseiten mit schädlichem Inhalt verbreitet wird.

Zwischen März 2019 und Februar 2020 führte der Großteil (89 Prozent) dieser Second-Stage-Redirects auf Werbe-Seiten. Bei den restlichen 11 Prozent der Weiterleitungen enthielten die Seiten selbst schädlichen Code oder forderten die Nutzer auf, infizierte MS-Office- und PDF-Dateien herunterzuladen.

Neue, lukrative Malvertising-Methode für Cyberkriminelle

Laut Kaspersky-Experten steckt hinter dieser neuen Methode ein profitables Geschäftsmodell. Denn die Cyberkriminellen erhalten eine Provision für die Weiterleitung auf unerwünschte Seiten – unabhängig davon, ob diese nun legitime Werbeseiten sind oder schädlichen Websites. Man spricht hier von Malvertising. Bei einer dieser schädlichen Seiten wurden beispielsweise 600 solcher Redirects in zehn Tagen registriert. Kaspersky geht davon aus, dass die Cyberkriminellen eine Provision auf Basis der Anzahl der Visits erhalten haben. Im Fall des Trojaners Shlayer dürften die Verbreiter der Malware für jede Installation auf einem der Geräte bezahlt worden sein.

Es ist wahrscheinlich, dass die Masche auf Fehler bei der Anzeigenfilterung für das Modul zurückzuführen ist, das den Inhalt des Werbenetzwerks eines Drittanbieters anzeigt.

„Leider können Nutzer fast nichts tun, um einem Redirect auf schädliche Seiten zu entgehen“, erklärt Dmitry Kondratyev, Junior Malware Analyst bei Kaspersky. „Domains, die solche Redirects auslösen, waren früher legitime Ressourcen, die von den Anwendern unter Umständen recht häufig aufgesucht wurden. Es gibt keine Möglichkeit festzustellen, ob diese Domains die Anwender jetzt auf Seiten zum Download von Malware weiterleiten oder nicht. Hinzu kommt, dass die Weiterleitung auf schädliche Webseiten nicht zwangsweise erfolgt: So könnte ein Zugriff auf diese Seiten von Russland aus keine Folgen haben, während der Zugriff über ein VPN den Download von Shlayer nach sich ziehen könnte. Diese Art von Malvertising ist im Allgemeinen recht komplex und damit nur sehr schwer vollständig aufzudecken. Die beste Strategie ist daher die Installation einer umfassenden Sicherheitslösung auf den Geräten.“

Kaspersky-Tipps zum Schutz vor einer Infektion mit Trojanern beim Aufruf schädlicher Websites

  • Programme und Updates nur aus vertrauenswürdigen Quellen installieren.
  • Webseiten hinsichtlich deren Seriosität durch vorherige Recherche überprüfen.
  • Eine zuverlässige Sicherheitslösung wie Kaspersky Security Cloud [3] verwenden, die sowohl Mac als auch PC sowie mobile Geräte schützt.

Weitere Ergebnisse der Analyse sind verfügbar unter securelist.com/redirect-auction/96944/

[1] https://securelist.com/redirect-auction/96944/
[2] https://www.kaspersky.de/about/press-releases/2020_tausende-von-websites-verbreiten-macos-malware
[3] https://www.kaspersky.de/security-cloud

Foto: https://pixabay.com/de/

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden